آشفتگی وب ۳ ضربه سختی می‌زند: میلیون‌ها دلار در فقط دو هفته از سال ۲۰۲۶ تخلیه شد – گزارش

Extropy گزارش می‌دهد هک‌های بزرگ کریپتو در ژانویه 2026. Truebit 26 میلیون دلار از دست می‌دهد، نقض داده‌های Ledger کاربران را در معرض خطر قرار می‌دهد و حملات فیشینگ افزایش می‌یابد.

دو هفته اول 2026 موجی از حوادث امنیتی را در پلتفرم‌های وب 3 به همراه آورد. 

Extropy گزارش Security Bytes خود را منتشر کرد که این رویدادها را مستند می‌کند. یافته‌ها تصویری نگران‌کننده از چشم‌انداز تهدید فعلی ارائه می‌دهند.

بر اساس گزارش، مهاجمان عملیات خود را در طول فصل تعطیلات ادامه دادند. خسارات از اکسپلویت‌های چند میلیون دلاری تا کمپین‌های پیچیده فیشینگ متغیر بود.

پروتکل Truebit 26 میلیون دلار را به دلیل نقص کد قدیمی از دست می‌دهد

اولین حادثه بزرگ سال در 8 ژانویه پروتکل Truebit را هدف قرار داد. یک مهاجم تقریباً 26 میلیون دلار را در چیزی که Extropy آن را اکسپلویت "کد زامبی" می‌نامد، تخلیه کرد.

آسیب‌پذیری ناشی از سرریز عدد صحیح در قراردادهای هوشمند قدیمی بود. این قراردادهای قدیمی‌تر فاقد محافظت‌های بومی سرریز Solidity مدرن بودند. مهاجم میلیون‌ها توکن TRU را تقریباً بدون هیچ هزینه‌ای ضرب کرد.

پس از ایجاد، توکن‌ها به پروتکل بازگشتند. تمام نقدینگی موجود در عرض چند ساعت ناپدید شد. قیمت توکن TRU در عرض فقط 24 ساعت تقریباً 100% سقوط کرد.

Extropy اشاره می‌کند که مهاجم فوراً 8,535 ETH را از طریق Tornado Cash منتقل کرد. شرکت‌های امنیتی بعداً کیف پول را به اکسپلویت قبلی پروتکل Sparkle مرتبط کردند. این نشان می‌دهد یک مجرم تکراری به طور خاص قراردادهای رها شده را هدف قرار می‌دهد.

گزارش هشدار می‌دهد که قراردادهای قدیمی یک آسیب‌پذیری حیاتی باقی می‌مانند. پروژه‌ها باید کد قدیمی را به طور فعال نظارت یا منسوخ کنند.

TMXTribe شاهد تخلیه 1.4 میلیون دلار در 36 ساعت است

بین 5 تا 7 ژانویه، TMXTribe دچار حمله‌ای کندتر اما به همان اندازه ویرانگر شد. فورک GMX در Arbitrum 1.4 میلیون دلار را در 36 ساعت متوالی از دست داد.

Extropy اکسپلویت را از نظر مکانیکی ساده توصیف می‌کند. یک حلقه توکن‌های LP را ضرب می‌کرد، آن‌ها را با استیبل‌کوین‌ها مبادله می‌کرد، سپس به طور مکرر آن‌استیک می‌کرد. قراردادهای تأیید نشده از تجزیه و تحلیل عمومی نقص دقیق جلوگیری کردند.

آنچه محققان را بیشتر نگران کرد پاسخ تیم بود. بر اساس گزارش، توسعه‌دهندگان در طول حمله در زنجیره فعال باقی ماندند. آن‌ها قراردادهای جدید را مستقر کردند و ارتقاها را در طول تخلیه اجرا کردند.

با این حال، آن‌ها هرگز تابع توقف اضطراری را فعال نکردند. تیم در عوض یک پیام پاداش در زنجیره برای مهاجم ارسال کرد. سارق آن را نادیده گرفت، وجوه را به اتریوم منتقل کرد و آن‌ها را از طریق Tornado Cash پولشویی کرد.

Extropy سوال می‌کند که آیا این نشان‌دهنده بی‌توجهی یا چیز بدتری است. گزارش تأکید می‌کند که قراردادهای تأیید نشده به عنوان پرچم قرمز برای کاربران عمل می‌کنند.

مشتریان Ledger با خطرات امنیت فیزیکی مواجه هستند

در 5 ژانویه، Ledger نقض داده‌ها را تأیید کرد که بر پایگاه مشتریان آن تأثیر گذاشت. نقض از پردازشگر پرداخت Global-e منشأ گرفت، نه سخت‌افزار Ledger.

نام‌های مشتریان، آدرس‌های حمل و نقل و اطلاعات تماس به خطر افتادند. Extropy هشدار می‌دهد این سناریوهایی را ایجاد می‌کند که متخصصان امنیتی آن را "حمله آچار فرانسه" می‌نامند. مهاجمان اکنون فهرستی از مالکان کیف پول سخت‌افزاری کریپتو و مکان‌های آن‌ها را در اختیار دارند.

گزارش به یک طعنه تلخ اشاره می‌کند. Ledger قبلاً به دلیل دریافت هزینه برای ویژگی‌های امنیتی مورد انتقاد قرار گرفت. اکنون پردازشگر پرداخت آن‌ها کاربران را بدون هیچ هزینه‌ای در معرض خطر فیزیکی قرار داده است.

Extropy به کاربران توصیه می‌کند انتظار تلاش‌های پیچیده فیشینگ را داشته باشند. داده‌های دزدیده شده به مهاجمان اجازه می‌دهد از طریق ارتباطات شخصی‌سازی شده اعتماد کاذب ایجاد کنند.

مطالعه مرتبط: خلاصه‌ای از حوادث امنیتی پیرامون کیف پول‌های سخت‌افزاری Ledger

کمپین فیشینگ متامسک 107,000 دلار را تخلیه می‌کند

محقق امنیتی ZachXBT یک عملیات فیشینگ پیچیده را که کاربران متامسک را هدف قرار می‌دهد، علامت‌گذاری کرد. این کمپین بیش از 107,000 دلار را از صدها کیف پول تخلیه کرده است.

قربانیان ایمیل‌های حرفه‌ای دریافت کردند که ادعا می‌کرد ارتقای اجباری 2026. پیام‌ها از الگوهای بازاریابی قانونی استفاده کردند و لوگوی اصلاح شده متامسک را نشان دادند. Extropy طراحی روباه "کلاه مهمانی" را به طرز فریبنده‌ای جشن‌واره توصیف می‌کند.

کلاهبرداری از درخواست عبارات بذر اجتناب کرد. در عوض، کاربران را وادار به امضای تأییدیه‌های قرارداد کرد. این به مهاجمان اجازه داد توکن‌های نامحدود را از کیف پول‌های قربانی منتقل کنند.

با نگه داشتن سرقت‌های فردی زیر 2,000 دلار، عملیات از هشدارهای بزرگ اجتناب کرد. Extropy تأکید می‌کند که امضاها می‌توانند به اندازه کلیدهای فاش شده خطرناک باشند.

پست هرج و مرج وب 3 به شدت ضربه می‌زند: میلیون‌ها دلار در فقط دو هفته از 2026 تخلیه شد – گزارش ابتدا در Live Bitcoin News ظاهر شد.