هشدار امنیتی برای کاربران کیف پول Uniswap: امکان استخراج رمز بازیابی در ۳ دقیقه با دسترسی فیزیکی

هشدار ScaleBit درباره آسیب‌پذیری «نگران‌کننده» در کیف پول Uniswap

ScaleBit، زیرمجموعه BitsLab، یک آسیب‌پذیری احتمالی را شناسایی کرده است که می‌تواند «تمام دارایی‌های ذخیره‌شده» در کیف پول‌های Web3 صرافی غیرمتمرکز (DEX) Uniswap را به خطر بیندازد. ScaleBit در ۱۳ ژانویه به Cointelegraph گفت که این «نقص» به مهاجمان با دسترسی فیزیکی به دستگاه اجازه می‌دهد تا مکانیزم‌های احراز هویت کیف پول را دور بزنند و عبارت بازیابی ذخیره‌شده در دستگاه را مستقیماً بازیابی کنند.

عبارت بازیابی کیف پول Web3، که به عنوان «عبارت سید» نیز شناخته می‌شود، رشته‌ای متشکل از ۱۲ تا ۲۴ کلمه تصادفی است که کنترل کامل دارایی‌های کیف پول را از هر دستگاهی فراهم می‌کند. ScaleBit در بیانیه‌ای گفت: «هر کسی که به یک دستگاه قفل‌نشده دسترسی داشته باشد، می‌تواند عبارت بازیابی کیف پول را در کمتر از سه دقیقه به دست آورد.» آنها افزودند که «نگران‌کننده است که این مشکل حتی در آخرین نسخه برنامه نیز وجود دارد.»

ScaleBit اعلام کرد که کاربران کیف پول Uniswap باید تا زمان رفع این آسیب‌پذیری، از قرض دادن دستگاه‌های خود به دیگران خودداری کنند. نمایندگان Uniswap بلافاصله به درخواست‌ها برای اظهار نظر پاسخ ندادند. Cointelegraph نتوانست به طور مستقل این آسیب‌پذیری را تأیید کند.

در سال ۲۰۲۴، خسارات ناشی از سوءاستفاده‌های امنیت سایبری در حوزه ارزهای دیجیتال ۴۰٪ افزایش یافت و به حدود ۲.۳ میلیارد دلار رسید. شرکت امنیتی Cyvers در دسامبر به Cointelegraph گفت که این افزایش، ناشی از افزایش نقض‌های کنترل دسترسی، به ویژه در صرافی‌های متمرکز (CEX) و نگهدارندگان رمز ارزها بوده است. به گفته ددی لاوید، یکی از بنیانگذاران و مدیرعامل Cyvers، نقض‌های مربوط به عبارات بازیابی یکی از انواع رایج نقض‌های کنترل دسترسی هستند.

قابل توجه است که خسارات ناشی از کلاهبرداری‌ها، سوءاستفاده‌ها و هک‌های کریپتو در ماه‌های پایانی سال ۲۰۲۴ کاهش یافت و دسامبر کمترین میزان سرقت را ثبت کرد. شرکت امنیت بلاکچین CertiK در ۳۱ دسامبر در پستی در شبکه اجتماعی X اعلام کرد که در دسامبر ۲۸.۶ میلیون دلار خسارت شناخته‌شده از سوءاستفاده‌ها، هک‌ها و کلاهبرداری‌ها رخ داده است، در حالی که این رقم در نوامبر ۶۳.۸ میلیون دلار و در اکتبر ۱۱۵.۸ میلیون دلار بود. شرکت امنیت بلاکچین PeckShield نیز در ۱ ژانویه در پستی در X داده‌های مشابهی را به اشتراک گذاشت. این شرکت ۲۴.۷ میلیون دلار خسارت ناشی از هک‌ها را در دسامبر ثبت کرد که به گفته آنها ۷۱٪ کاهش نسبت به نوامبر بود.