ایل بلوم (Ill Bloom)

با ظهور آسیب‌ پذیری ایل بلوم (Ill Bloom) ناشی از ضعف در تولید اعداد تصادفی هنگام ساخت عبارات بازیابی، امنیت دارایی‌ های ذخیره شده در چندین بلاک ‌چین مختلف تحت تأثیر جدی قرار گرفته است. براساس یافته‌ های منتشر شده تا پایان ژوئن 2026، مجموعاً 2,114 آدرس در شبکه‌ های مختلف از جمله بیت ‌کوین و اتریوم در معرض خطر قرار گرفته ‌اند. در پی یک حمله بزرگ در تاریخ 27 می 2026، 431 حساب تخلیه شده و خسارت مالی بالغ بر 314,968 دلار به کاربران وارد شده است. با توجه به اینکه فرآیند شناسایی حساب‌ های آسیب ‌دیده همچنان ادامه دارد، درک ابعاد این رویداد و بررسی فعالیت‌ های مرتبط با آن در این مقاله مورد توجه قرار خواهد گرفت.

تحلیل ابعاد مالی و آماری آسیب ‌پذیری ایل بلوم

تحلیل ابعاد مالی و آماری آسیب ‌پذیری ایل بلوم

مجموعه داده ‌های بررسی ‌شده در این گزارش تحت عنوان «مجموعه آدرس‌ های در معرض خطر ایل بلوم 1 – ژوئن 2026» تدوین شده است که تا تاریخ 30 ژوئن 2026، شامل 2,114 عبارت بازیابی (Seed Phrase) شناسایی ‌شده در شبکه ‌های بیت‌ کوین، اتریوم، ترون، روت ‌استاک و پالیگان می ‌باشد. لازم به ذکر است که این فهرست تنها زیرمجموعه‌ ای از آدرس ‌های آسیب‌ دیده است و با تداوم تحقیقات بر روی آسیب ‌پذیری Ill Bloom، احتمال شناسایی حساب ‌های بیشتری در سایر شبکه‌ ها وجود دارد؛ لذا ارقام ارائه شده، حداقل میزان خسارات قطعی و تایید شده در این بازه زمانی محسوب می ‌شوند.

در بررسی رویداد تخلیه گسترده در تاریخ 27 می 2026، مشخص شده است که 431 حساب تحت تأثیر قرار گرفته و مجموعاً حدود 3,140,968 دلار دارایی جابجا شده‌ اند. تحلیل توزیع این خسارت نشان می ‌دهد که اگرچه حساب ‌های مربوط به «کیف پول 1» با 260 مورد (حدود 60% از کل حساب‌ ها)، اکثریت هک ‌های ناشی از ایل بلوم را تشکیل می ‌دهند اما تنها 9% از ارزش کل (283,100 دلار) را شامل می ‌شوند. در مقابل، تمرکز اصلی ارزش مالی در گروه «سایر موارد» با 171 حساب مشاهده شده است که با جابجایی 2,857,868 دلار، بخش اعظم خسارت را به خود اختصاص داده‌ اند؛ به طوری که در یک نمونه تک، تنها یک حساب بیت ‌کوین تخلیه‌ شده، موجودی بیش از 1.1 میلیون دلار داشته است.

تحلیل زمانی فعالیت ‌ها و چرخه حیات آدرس‌ های آسیب‌ پذیر ایل بلوم

بررسی خط زمانی اولین تأمین مالی آدرس‌ ها نشان می ‌دهد که 2,114 آدرس تحت تأثیر آسیب ‌پذیری Ill Bloom، از سپتامبر 2018 تا می 2026 فعالیت داشته ‌اند. نکته حائز اهمیت این است که فرآیند ایجاد کیف‌ پول ‌های جدید با کلیدهای ضعیف و دریافت موجودی در آنها، حتی در سال‌ های 2025 و 2026 و حتی در همان ماه وقوع سرقت (می 2026) نیز همچنان ادامه داشته است. این موضوع نشان ‌دهنده تداوم تولید عبارت‌ های بازیابی ناامن در طول زمان است که باعث شده آدرس ‌های جدید نیز همواره در معرض خطر قرار بگیرند.

نوسانات ارزش دارایی ‌ها و اوج مخاطرات مالی ناشی از ایل بلوم

نوسانات ارزش دارایی ‌ها و اوج مخاطرات مالی ناشی از ایل بلوم

شاخص «وجوه در معرض خطر» که نشان‌ دهنده حداکثر ارزش مالی قابل دسترسی برای مهاجمان در هر ماه است، طی سال ‌های گذشته نوسانات قابل توجهی را تجربه کرده است. مجموع آدرس ‌های تحلیل ‌شده در آوریل 2022 با رسیدن به اوج 12.56 میلیون دلار، بیشترین میزان در معرض خطر بودن را تجربه کردند؛ اما با توجه به روند نزولی بازار ارزهای دیجیتال، این رقم کاهش یافت و در نهایت در می 2026 (زمان وقوع سرقت بزرگ) دچار سقوط شدیدی شد. شایان ذکر است که کاهش ارزش از سال 2022 تا 2026 بیشتر ناشی از سقوط قیمت بازار بوده است، در حالی که افت ناگهانی در می 2026 مستقیماً با رویداد سرقت ایل بلوم مرتبط است. لازم به تأکید است که رقم 12.56 میلیون دلار تنها بیانگر «بیشترین موجودی تاریخی» است و میزان خسارت واقعی و تایید شده که توسط سارقان خارج شده، همان 3.1 میلیون دلار می ‌باشد.

تحلیل الگوی رفتاری و شناسایی رویداد تخلیه در آسیب ‌پذیری ایل بلوم

در این پژوهش، مفهوم «تخلیه» (Drainage) به معنای انتقال حداقل 98 درصد از موجودی یک حساب از طریق یک تراکنش خروجی واحد به مقصدی خارج از مجموعه آدرس ‌های تحت تأثیر ایل بلوم تعریف شده است. برای تمایز میان تراکنش ‌های عادی کاربران و عملیات سرقت سازمان ‌یافته، از مدل ‌سازی بصری پیشرفته ‌ای استفاده شده است که در آن هر خروج وجه با یک «حباب» نمایش داده می ‌شود؛ به ‌طوری که محور افقی نشان ‌دهنده تاریخ، محور عمودی بیانگر ارزش دلاری، اندازه حباب نمایانگر حجم تراکنش و رنگ حباب نیز نشان ‌دهنده میزان همگرایی مقصد است. این روش به تحلیلگران اجازه می ‌دهد تا تفاوت میان پراکندگی طبیعی تراکنش ‌ها و تمرکز غیرعادی وجوه را به ‌وضوح تشخیص دهند.

مشخصات عملیات سرقت هماهنگ‌ شده ناشی از ایل بلوم

مشخصات عملیات سرقت هماهنگ‌ شده ناشی از ایل بلوم

برخلاف فعالیت ‌های معمول کاربران که به صورت تراکنش ‌های پراکنده به مقصدهای مختلف انجام می ‌شود، عملیات سرقت ناشی از آسیب‌ پذیری Ill Bloom الگویی کاملاً متفاوت و هماهنگ‌ یافته را دنبال کرد. در تاریخ 27 می 2026، فرآیند تخلیه حساب ‌ها به شکل یک «ستون خروجی متمرکز» ظاهر شد؛ به این معنا که تعداد زیادی از حساب ‌های آسیب ‌دیده، در یک بازه زمانی بسیار کوتاه و تنها در عرض چند ساعت، تمام دارایی خود را به تعداد انگشت ‌شماری آدرس جمع ‌آوری‌ کننده (Aggregator) در شبکه اتریوم واریز کردند. این همگرایی شدید و همزمان در مقصد، تایید کننده یک حمله سازمان ‌یافته برای پاکسازی و تجمیع وجوه ناشی از نقص امنیتی ایل بلوم است.

در این باره بیشتر بخوانید