دام ۴۰۰ هزار دلاری هکرها؛ سایت جعلی یونیسواپ کیف پول کاربران را خالی کرد
بار دیگر یک حمله فیشینگ در بازار رمزارزها خبرساز شده؛ اینبار مهاجمان با ساخت نسخهای جعلی از وبسایت یونیسواپ، موفق شدهاند حدود ۴۰۰ هزار دلار از دارایی کاربران را سرقت کنند. موضوعی که بار دیگر نشان میدهد حتی شناختهشدهترین پروتکلهای دیفای هم از تهدید کلاهبرداران در امان نیستند.
ماجرا از جایی آغاز شد که یک وبسایت کاملاً مشابه رابط رسمی یونیسواپ در فضای وب ظاهر شد؛ سایتی که از نظر طراحی، آدرس صفحات و تجربه کاربری شباهت زیادی به نسخه اصلی داشت و همین مسئله باعث شد تعدادی از کاربران بدون شک، کیف پول خود را به آن متصل کنند.
اما پشت این ظاهر آشنا، یک قرارداد مخرب قرار داشت.
به گفته محقق آنچین «b-block»، کاربران پس از اتصال والت و امضای یک درخواست بهظاهر عادی، در واقع مجوز دسترسی به داراییهای خود را به مهاجمان دادهاند. سپس هکرها با استفاده از همین مجوزها، توکنهای موجود در کیف پول قربانیان را تخلیه کردهاند.
این محقق دو آدرس مرتبط با این حمله را نیز منتشر کرده و هشدار داده که کاربران باید پیش از اتصال کیف پول، آدرس دقیق سایت را بررسی کنند و فقط از لینکهای رسمی استفاده کنند.
حملات Drainer چگونه کار میکنند؟
در سالهای اخیر، حملات موسوم به «Wallet Drainer» به یکی از رایجترین روشهای سرقت در اکوسیستم دیفای تبدیل شدهاند. در این روش، مهاجمان معمولاً نسخهای جعلی از یک پلتفرم معتبر میسازند و کاربران را از طریق تبلیغات گوگل، شبکههای اجتماعی یا لینکهای جعلی به آن هدایت میکنند.
کاربر تصور میکند وارد سایت اصلی شده، کیف پولش را متصل میکند و یک تراکنش معمولی را امضا میکند؛ اما همان امضا در واقع مجوز دسترسی کامل یا نامحدود به داراییهای اوست.
از آنجا که تراکنشهای بلاکچینی برگشتناپذیر هستند، پس از انتقال دارایی عملاً راهی برای بازگرداندن سرمایه وجود ندارد.
چرا کاربران همچنان قربانی میشوند؟
یکی از دلایل اصلی موفقیت این نوع حملات، پیچیدگی فنی قراردادهای هوشمند و مجوزهای کیف پول است. بسیاری از کاربران هنگام امضای تراکنشها، جزئیات درخواست Approval را بررسی نمیکنند و صرفاً برای ادامه فرایند روی گزینه تأیید کلیک میکنند.
از سوی دیگر، سایتهای جعلی روزبهروز حرفهایتر میشوند. برخی از این صفحات حتی در نتایج اول جستجوی گوگل یا در قالب تبلیغات رسمی نمایش داده میشوند و تشخیص آنها برای کاربران عادی بسیار دشوار است.
پیشتر «هایدن آدامز»، بنیانگذار یونیسواپ، نیز اعلام کرده بود که تیم این پروژه سالهاست با موج وبسایتها و اپلیکیشنهای جعلی مقابله میکند، اما حذف کامل آنها تقریباً غیرممکن شده است.
آمار نگرانکننده کلاهبرداریهای کریپتویی
افزایش چنین حملاتی فقط محدود به یونیسواپ نیست. طبق گزارش FBI، در سال ۲۰۲۵ بیش از ۱۸۱ هزار پرونده مرتبط با کلاهبرداریهای رمزارزی ثبت شده که مجموع خسارت آنها به بیش از ۱۱ میلیارد دلار رسیده است.
بخش قابلتوجهی از این سرقتها به حملات فیشینگ، جعل هویت پروژهها و امضای تراکنشهای مخرب مربوط میشود؛ حملاتی که اغلب بدون نیاز به هک مستقیم کیف پول، صرفاً از طریق فریب کاربر انجام میشوند.
کاربران چگونه میتوانند از دارایی خود محافظت کنند؟
کارشناسان امنیت بلاکچین توصیه میکنند کاربران برای کاهش ریسک این حملات، چند نکته ساده اما حیاتی را رعایت کنند:
- همیشه آدرس سایت را بهصورت دقیق بررسی کنید.
- از کلیک روی لینکهای تبلیغاتی گوگل برای ورود به پروتکلهای دیفای خودداری کنید.
- مجوزهای قدیمی کیف پول را بهصورت دورهای لغو کنید.
- قبل از امضای هر تراکنش، جزئیات دسترسی درخواستشده را بخوانید.
- برای تعامل با پروژههای ناشناس از کیف پول جداگانه استفاده کنید.
جمعبندی
حمله اخیر نشان میدهد که بزرگترین تهدید بازار رمزارزها دیگر فقط هکهای پیچیده نیستند؛ بلکه بسیاری از سرقتها از طریق خطاهای انسانی و اعتماد کاربران اتفاق میافتند.
در شرایطی که دیفای هر روز گستردهتر میشود، آگاهی امنیتی کاربران به همان اندازه اهمیت پیدا کرده که دانش سرمایهگذاری. یک کلیک اشتباه یا امضای بدون بررسی، میتواند در چند ثانیه کل دارایی یک کیف پول را از بین ببرد.
نظرتان را دربارهی مقاله «دام ۴۰۰ هزار دلاری هکرها؛ سایت جعلی یونیسواپ کیف پول کاربران را خالی کرد» با ما درمیان بگذارید.
امتیاز نقدینگی: 
امتیاز محبوبیت: 
امتیاز عملکرد: 
فاصله زمانی با ATH: 
فاصله قیمتی با ATH: 
