تم اختراق Compound Finance لاستضافة موقع ويب للتصيد الاحتيالي

تم اختراق منصة الإقراض اللامركزية Compound Finance. تم استبدال موقع المنصة بموقع تصيد احتيالي.

تم الإبلاغ عن الموقع لأول مرة بواسطة محقق السلسلة ZachXBT ، وبدأ في إعادة توجيه المستخدمين إلى نطاق مسجل حديثًا مختلفًا بدءًا من 11 يوليو.

يحاول المحتالون التصيد الجماعي

حذر المحقق المستخدمين في منشور على Telegram، وحث المستخدمين على تجنب التفاعل مع الرابط الضار "compound-finance[dot]app". يحاكي الموقع المزيف موقع Compound Finance الأصلي بالكامل.

موقع التمويل المركب المزيف مصمم لخداع المستخدمين. المصدر: هاربي على X.

تم تأكيد الاختراق من قبل المستشار الأمني لـ Compound DAO مايكل لويلين على X. حذر Lwellen، تماشيًا مع ZachXBT، المستخدمين من تجنب التفاعل مع عنوان URL الخاص بالمركب.finance، والذي كان يعيد توجيه المستخدمين إلى الموقع المذكور أعلاه.

وأكد عضو Compound Finance أيضًا أن البروتوكول لم يتأثر وأن أموال العقود الذكية آمنة.

وأشار MartyFly، أحد المعلقين على العملات المشفرة، إلى أن رابط التصيد الاحتيالي تمكن من إعادة توجيه المستخدمين حتى لو تم وضع إشارة مرجعية على الموقع الأصلي. علاوة على ذلك، أدى تحديث مثيل سابق لموقع الويب المفتوح على المتصفح أيضًا إلى إعادة توجيه المستخدمين إلى الموقع الضار.

في وقت النشر، لم يكن عنوان URL يعيد توجيه المستخدمين إلى موقع التصيد الاحتيالي. ولم ترد أي تقارير عن فقدان أي أموال.

لم يصدر فريق Compound Finance بعد بيانًا عامًا يعترف فيه بالأمر.

تاريخ الهجمات

ليست هذه هي المرة الأولى التي يتم فيها اختراق بروتوكول التمويل اللامركزي. في العام الماضي، تم استهداف حساب X الخاص بالمشروع من قبل المتسللين.

استخدم المهاجمون حساب وسائل التواصل الاجتماعي للترويج لموقع تصيد آخر. تم الإعلان عن الموقع على أنه يقدم رموز تشفير مجانية وحث المستخدمين على النقر فوق رابط ضار.

تم تأكيد الحادث لاحقًا من قبل فريق Compound Finance، مشيرًا إلى أن المتسللين احتفظوا بإمكانية الوصول لمدة أربع ساعات قبل استرداد حساب X.

تم إطلاق Compound Finance في عام 2017، وهو يسمح للمستخدمين بإقراض واقتراض العملات المشفرة مع وسيط، والاستفادة من العقود الذكية.

حصلت الشركة على تمويل من أسماء بارزة مثل عملة التشفير a16z الخاصة بشركة Andreessen Horowitz، وPolychain Capital، وBain Capital، وCoinbase Ventures، وParadigm، وDragonfly Capital.

وفي الوقت نفسه، تظل أنشطة التصيد الاحتيالي مصدر قلق لقطاع العملات المشفرة.

في وقت سابق من هذا الشهر، تم اختراق عنوان البريد الإلكتروني الرسمي لمؤسسة Ethereum لإرسال رسائل بريد إلكتروني تصيدية إلى 35794 عنوانًا. حاول المحتالون خداع المستخدمين باسم نظام التوقيع المساحي.

ولحسن الحظ، لم يتأثر أي مستخدم بالهجوم.

كما ذكرت Invezz سابقًا، تمت سرقة أصول العملات المشفرة بقيمة تزيد عن 300 مليون دولار من سلاسل EVM في النصف الأول من عام 2024 عبر عمليات التصيد الاحتيالي. ولوحظ ارتفاع بنسبة 6.44٪ مقارنة بنفس الفترة من عام 2023.