محمد هاشمی
محمد هاشمی
خواندن ۵ دقیقه·۲ سال پیش

بررسی حادثه هک اتمیک و تحلیل سناریو های مختلف

به گزارش وبسایت بات کاج:
روز 2 ژوئن 2023 (12 خرداد 1402) تاریخی که مدیرعامل و کاربران کیف پول اتمیک فراموش نخواهند کرد، در این تاریخ از تعداد زیادی از کیف پول های ایجاد شده در این برنامه دچار سرقت شده و دارایی های خود را از دست دادند.

اولین گزارش هک و محو شدن دارایی ها توسط یک کاربر انگلیسی زبان در گروه پشتیبانی گلوبال اتمیک انجام شد، مانند گذشته ادمین های گروه به کاربر قربانی، سوالات و صحبت های تکراری مانند ارسال نکردن کلید 12 رقمی به کسی و انواع سوالات و در آخر مقصر نشان دادن کاربر در از دست دادن دارایی خود بودند، در آن لحظه هیچ کس معتقد نبود کاربر اشتباهی نکرده است و این یک هک درونی از سمت اتمیک بوده است. گزارشات محو شدن دارایی ها در گروه پشتیبانی هر ساعت در حال افزایش بود و کاربران زیادی به جمع قربانیان می پیوستند.

اتمیک فردا آن روز(3 ژوئن 2023) در ساعت 14 به وقت تهران در توییتر و گروه خود اطلاعیه منتشر کرد:

اتمیک در این توییت بدون هیچ اشاره ای به کلمه “هک” و “نقص امنیتی” به کاربران اطلاع داد ما گزارش های به عنوان در خطر افتادن برخی از کیف پول ها دریافت کردیم و ما تمام تلاش خود را برای بررسی خواهیم کرد و برای هر گونه سوال و نگرانی با ایمیل ما تماس بگیرید.
اتمیک در این توییت بدون هیچ اشاره ای به کلمه “هک” و “نقص امنیتی” به کاربران اطلاع داد ما گزارش های به عنوان در خطر افتادن برخی از کیف پول ها دریافت کردیم و ما تمام تلاش خود را برای بررسی خواهیم کرد و برای هر گونه سوال و نگرانی با ایمیل ما تماس بگیرید.


اما این اطلاع رسانی ضعیف و دیر اتمیک به سرقت کیف پول های کاربران پایان نداد و بعد از آن بسیاری از کاربران کیف پول هایشان دچار سرقت شد و هر ساعت در گروه گلوبال و محلی در حال افزایش قربانی بود .

تیم ZachXBT که یک کارگاه زنجیره ای است با بررسی و داده ها به صورت تخمینی اعلام کرد بیش از 35 میلیون دلار از اتمیک سرقت شده است و همچنین این تیم در توییت دیگری اعلام کرد توانسته دارایی یک قربانی را به ارزش 1 میلیون دلار بازیابی کند، اتمیک با سکوت مطلق و عجیب بعد از چند روز در توییتی اعلام کرد:” کمتر از 1% درصد کاربران فعال ماهانه ما درگیر سرقت شده اند” ، توییتی که ظاهرا برای کم اهمیت جلوه دادن موضوع و تبرئه طراحی و برنامه ریزی شده بود، اما نکته عجیب ماجرا این است که با وجود گذشت 9 روز هنوز هیچ اطلاعاتی شفاف و رسمی از سمت اتمیک برای مقدار سرقت شده و نحوه هک شدن کیف پول قربانی ها منتشر نشده است و امروز اتمیک برای سومین روز متوالی در تمام شبکه های اجتماعی سکوت کرده است.

  • سناریو های احتمالی هک:
    اما یک کاربر توییتری به نام 23pds در رشته توییتی به بررسی فنی احتمالی نوع سرقت از این کیف پول پرداخته است. آنالیز این حادثه از اینجا شروع شده است که کاربر دیگر به نام EMRE تعداد زیادی درخواست از نوع http از طرف کیف پول اتمیک والت خود برای گرفتن لاگ (log) ارسال کرده است.این کاربر متوجه شده است طی درخواستی که فرستاده است، داده‌های ارسالی توسط کیف پول او با یک متغیر به نام یوزر آیدی در سرور ثبت شده است و از آنجا در دیتابیس اتمیک ولت ذخیره شده است. این موضوع در تصویر زیر کاملا مشخص است.

همان‌طور که مشاهده می‌کنید ارتباط کیف پول این کاربر با سرور اتمیک ولت طی یک شناسه کاربری با اسم userId در طرف سرور ذخیره شده است که انتهای آن با «۲۳۶» تمام می‌شود.این کاربر برای رمزگشایی از این رشته کاراکتر ابتدا عبارت بازیابی کیف پول خود در اتمیک ولت را توسط الگوریتم رمزنگاری SHA-256 دوبار پشت سرهم هش کرده است و به نتیجه جالب زیر رسیده است.

  • همان‌طور که دیده می‌شود حاصل کار دقیقا برابر با متغیر یوزر آیدی شد. این بدان معنی است که در هر بار ارتباط کاربر با کیف پول اتمیک ولت سوابق درخواست کاربر همراه با عبارت بازیابی پس از ۲ بار هش شدن در دیتابیس اتمیک ولت ذخیره می‌شود.اما می‌دانیم که الگوریتم SHA-256 برگشت پذیر نیست یعنی شما نمی‌توانید با داشتن خروجی آن به داده‌های ورودی دست پیدا کنید. پس این سوال مطرح می‌شود که هکر چگونه این داده‌ها را بدست آورده است؟
  • سناریو دوم:
    اما سناریو دوم توسط گروه Xz مطرح شد، این گروه که تشکیل شده از قربانی ها اتمیک است و کاربر EMRE که سناریو اول را مطرح کرده یکی از مدیران و رهبران این گروه است، شخصی که خود را رهبر این گروه معرفی میکند با نام کاربری “Leader Xz” فعالیت میکند و به “پسر ترامپ” مشهور است در ریشته توییتی نوشت، این سرقت و هک یک برنامه ریزی هوشمندانه از سمت خود اتمیک برای سرقت دارایی های مردم بوده است، وی اتمیک را به کلاهبرداری و خیانت در امانت متهم کرد، او بیان اینکه چرا باید یک کیف پول در بند 8 قوانین خود بنویسد تحت هیچ شرایطی بیشتر از 50 دلار غرامت پرداخت نخواهد کرد خطاب به اتمیک گفت ” آیا شما از امنیت کیف پول خود مطمئن نبودید یا برای امروز برنامه ریزی میکردید؟”
  • وی در توییت دیگر اعلام کرد، مدیرعامل اتمیک و سایر ادمین های اتمیک حساب کاربری تلگرام من را از گروه پشتیبانی حذف کردند و او اتمیک را به سرکوب رسانه ای متهم کرد و یک گروه مستقل تلگرامی برای ایجاد و بررسی ابعاد قضیه بدون سانسور ایجاد کرد.
  • اتمیک چقدر دارایی دارد؟ آیا بیمه بوده است؟
    سوالی که برای تمام قربانی ها پیش خواهد امد آن است که اتمیک چقدر ارزش مالی دارد و درآمد انها چقدر است و آیا بیمه بوده است؟
    بر اساس گفته پشتیبانی گلوبال این کیف پول، اتمیک با توجه عدم دانستن دارایی کاربران خود هیچ گونه بیمه مالی نبوده است و در مورد ارزش و درآمد اتمیک اطلاعات رسمی ای وجود ندارد اما طبق بررسی وبسایت growjo ، اتمیک سالانه کمتر از 7 میلیون دلار درامد دارد.

    منبع


کیف پولاتمیک ولت
برنامه نویس و توسعه دهنده سمت سرور
شاید از این پست‌ها خوشتان بیاید