زمان مورد نیاز برای مطالعه: 9 دقیقه

در سال گذشتهی میلادی (سال ۲۰۲۰) اتفاقات بسیار تلخی در دنیا افتاد و دنیای کریپتو هم از این نظر بینصیب نبود. درست است که در سه ماههی پایانی ۲۰۲۰، بیت کوین و تمام بازار کریپتو یک جهش صعودی چندصددرصدی داشتند و سودهای زیادی نصیب سرمایهگذارهای این حوزه شد، ولی پروژههای زیادی هم هک شدند و متأسفانه ضررهای جبرانناپذیری به کاربرهای این پلتفرمها وارد شد. از آنجایی که در هر اتفاق ناگوار، درسها و تجربههایی پنهان شده، تصمیم گرفتیم در این مقاله از وبلاگ ولت سنتر، مروری بر بزرگترین هک های کریپتویی در سال ۲۰۲۰ داشته و سطح دانش خود را به عنوان کاربرهای این حوزه افزایش دهیم.
به خاطر داشته باشید که تعریف امنیت در دنیای فناوریهای غیرمتمرکز و بهخصوص بلاک چین و ارزهای دیجیتال، رابطهی مستقیمی با دانش و مسئولیتپذیری کاربرها دارد. بسیاری از هکهای بزرگ تاریخ، در اثر عدم رعایت چند نکتهی ساده رخ دادهاند. پس توصیه میشود با افزایش آگاهی و رعایت نکات ایمنی، امنیت سرمایههای خود را تضمین کنید.
هک داده های شرکت لجر
سال ۲۰۲۰ یکی از بدترین سالها برای کمپانی خوشنام «لجر» (Ledger)، تولیدکنندهی کیف پولهای سختافزاری لجر بود. در ماه جولای بود که این شرکت متوجه شد اطلاعات شخصی ۲۷۰ هزار نفر و ایمیل بیش از یک میلیون نفر از کاربرهایش لو رفته است. لجر همچینن اعلام کرد که اطلاعات بیش از ۲۰ هزار نفر با کمک افرادی از داخل شرکت Shopify به سرقت رفته است.
این سبک اطلاعاتِ لو رفته، در اغلب موارد به «حملات فیشینگ» (Phishing Attacks) ختم میشوند و متأسفانه همین اتفاق برای تعداد زیادی از کاربرهای لجر افتاد. ما در این باره به طور مفصل در مقاله «حمله فیشینگ به کیف پول های سخت افزاری لجر» صحبت کردهایم که در صورت تمایل میتوانید آن را نیز مطالعه کنید.
در اغلب موارد، با استفاده از آدرسهای ایمیل، پیامهایی غیرواقعی به کاربرها ارسال شده که آنها میخواهد به یک لینک که آدرسی مشابه سایت لجر دارد مراجعه کنند. در ادامه، یا از کاربرها به بهانههای مختلف خواسته میشود که کلمات بازیابی خود را وارد کنند یا اینکه نرمافزار «لجر لایو» (Ledger Live) خود را با استفاده از یک لینک غیرواقعی به روزرسانی کنند. در هر دوصورت، اطلاعات حساب کاربرها هک شده و تمام داراییها به سرقت میرود.
شرکت لجر مدتی بعد، اعلام کرد که دارایی هزاران کاربر از این طریق به سرقت رفته است. حتی مواردی هم گزارش شد که سارقین از راه تعویض سیمکارت یا حتی حمله به محل سکونت کاربرها و تهدید فیزیکی، دارایی آنها را به سرقت بردهاند.
هک صرافی کوکوین (KuCoin)
ماجرای هک شدن صرافیها در دنیای کریپتو همواره وجود داشته و به همین دلیل توصیه میشود برای هولد کردن از کیف پول صرافیها استفاده نکنید. در سپتامبر ۲۰۲۰ مشخص شد که هکرها با دسترسی به «کلیدهای خصوصیِ» (Private Keys) کیف پولهای صرافی توانستند مبلغ ۲۸۱ میلیون دلار را از این صرافی خارج کنند. صرافی کوکوین به محض متوجه شدن، تمام داراییها را فریز کرد تا جلوی ضررهای بعدی گرفته شود.
اینکه در این هک کریپتویی، هکرها دقیقاً از چه راهی توانستند به کلیدهای خصوصی صرافی دست پیدا کنند، هنوز مشخص نیست؛ اما با توجه به اینکه طبق آمار، بیش از ۸۴ درصد هکها از طریق «مهندسی شبکههای اجتماعی» صورت میگیرد، به نظر میرسد این هک هم از همین روش انجام شده است. منظور از مهندسی شبکههای اجتماعی، برنامهریزی برای دستیابی به اطلاعات حساس کاربرها از طریق تشویق و فریب آنها در پلتفرمهای مختلف اجتماعی است.
هکرها به محض اینکه کنترل داراییها را به دست گرفتند، آنها را از طریق انواع کوین میکسرها (Coin-mixers) جابهجا کرده یا در پلتفرمهای مختلف «دیفای» (DeFi) مثل «یونی سواپ» (UniSwap) به فروش رساندند.
در ادامه طی مجموعه اقداماتی که به «Scavenger hunt» معروف است، Bitfinex کمپانی سازندهی استیبل کوین تتر اعلام کرد که ۳۳ میلیون دلار از داراییهای به سرقت رفتهی کوکوین را فریز یا بلوکه کرده است. صرافی کوکوین هم مدتی بعد اعلام کرد که توانسته رد ۲۰۴ میلیون دلار از داراییها را گرفته و بازگردانی کند. بقیهی مبلغ هم از طریق صندوق بیمه صرافی به کاربرها بازگردانده شد.
دقت کنید که نباید هیچگاه کلیدهای خصوصی خود و عبارات بازیابیتان را در اختیار افراد دیگر قرار دهید.
آیا میدانید در صورت دزدیده، گم یا خراب شدن کیف پول سخت افزاری باید چه اقداماتی انجام دهید؟
هک قراردادهای هوشمند پروژه های دیفای
همانطور که میدانید، سال ۲۰۲۰ به سال انفجار پروژههای «دیفای» (یا همان امور مالی غیرمتمرکز) معروف است. اکثر پلتفرمهای این حوزه برنامههای غیرمتمرکزی هستند که بر اساس «قراردادهای هوشمند» (Smart Contracts) کار میکنند. هرچند این حوزه توانست دنیا را با افقهای جدیدی در فناوریهای امور مالی آشنا کند، اما از آنجایی که کلیهی کدهای این پلتفرمها توسط انسانها نوشته میشود، همیشه احتمال وقوع خطا و گاهی خطاهای بسیار بزرگ وجود دارد.
یک مطالعه در سال ۲۰۱۸ نشان داد که حدود ۴۵ درصد قراردادهای هوشمند دارای نقاط ضعف و آسیبپذیری هستند. این قضیه زمانی تشدید میشود که بدانیم پس از پیادهسازی و شروع به کار چنین پلتفرمهایی، امکان اعمال تغییرات اساسی در آنها بسیار کم است. پس اگر سیستم دارای خطا یا ایراد مهمی باشد، این مشکل تا مدتها ماندگار خواهد بود.
در سال ۲۰۲۰ چندین پروژهی دیفای هک شدند. اولین مورد از هک های کریپتویی این حوزه، در ماه فوریه در پلتفرم وامدهی bZx اتفاق افتاد. جالب است بدانید که این پلتفرم در یک مدت کوتاه، دو بار هک شد و حدود ۱ میلیون دلار به سرقت رفت. در ادامه نوبت به پلتفرم چینی DForce رسید. هکرها توانستند یک باگ مهم در استاندارد توکننویسی این صرافی یعنی ERC-777 پیدا کرده و از طریق آن، در مدت چند ساعت، موجودیِ چند «استخر نقدینگی» (Liquidity Pool) را به ارزش ۲۵ میلیون دلار تخلیه کنند. گزارشهای مختلفی از چنین حملاتی به استخرهای نقدینگی در سال ۲۰۲۰ منتشر شده است.
یکی دیگر از حوزههای جذاب دیفای، «ییلد فارمینگ» (Yield Farming) است که به آن Liquidity Farming هم گفته میشود. در سال ۲۰۲۰ شاهد ورود حجم زیادی از سرمایهها به این بخش بودیم. چنین جوی باعث شد پروژههای مختلف برای عقب نماندن از قافله، با سرعت پلتفرمهای خود را راهاندازی کنند و همین امر احتمال وجود باگ در آنها را به شدت افزایش داد. در این حوزه، کاربرها میتوانند با تأمین نقدینگی لازم پلتفرمها، سودهای جذابی کسب کنند. بعد از موفقیت پروژههای YFI، Compound، Curve و غیره سروکلههای پروژههای بیشماری پیدا شد که بسیاری از آنها کپیهای دستکاریشدهی دیگر پروژهها بودند. در بسیاری از این پروژهها پس از رسیدن سرمایه به یک مقدار قابل توجه، توسعه دهندههای آن پروژه داراییها را تخلیه و کلاهبرداری میکردند.
نتیجه میگیریم که هیچگاه نباید با چشمان بسته به قراردادهای هوشمند پروژههای دیفای اعتماد کرد و همیشه ریسک وجود باگ یا خطرات کلاهبرداری یا توسعهدهندههای خطرناک را در نظر بگیریم. همیشه باید قبل از سرمایهگذاری در یک پلتفرم دیفای، نظر کارشناسهای امنیت را در مورد آن برنامه بررسی کنیم.
هک پروژه DeFi Mutual
یکی دیگر از هک های کریپتویی سال ۲۰۲۰ مربوط به پلتفرم DeFi Mutual است که در آن یک هکر توانست با فریب دادن بنیانگذار این پروژه، مبلغ ۸ میلیون دلار را سرقت کند. این حمله از طریق مهندسی شبکههای اجتماعی صورت گرفت و هکر توانست با نصب یک نسخهی دستکاریشدهی برنامهی «متامسک» (MetaMask) روی کامپیوتر بنیانگذار پروژه، ۸.۲ میلیون دلار از داراییها را به کیف پول خودش منتقل کند.
موضوع وقتی جذابتر میشود که متوجه میشویم بنیانگذار این پروژه آقای Karp از یک کیف پول سختافزاری برای ذخیرهی داراییها استفاده میکرده است. میدانیم که کیف پولهای سختافزاری امکان نفوذ از طریق اینترنت را از بین میبرند و انجام تراکنش در آنها مستلزم انجام یک اقدام فیزیکی مثل فشردن دکمه روی دستگاه است و امکان دستکاری اطلاعات روی صفحه نمایش این کیف پولها وجود ندارد.
ماجرا از این قرار بود که هکر توانسته بود از راه دسترسی به کامپیوتر این شخص، اطلاعات تراکنش را تغییر دهد و مقصد جدیدی برای آن تعریف کند. زمانی که Karp تراکنش مربوطه را به طور فیزیکی تأیید میکند، حجم زیادی از داراییها به سرقت میرود.
نتیجه میگیریم که امنیت اطلاعات شخصی در فضای آنلاین اهمیت زیادی دارد و همیشه باید مراقب مرورگرها و کیف پولهای تحت وب خود باشیم. اگر چنین اتفاقی برای بنیانگذار یک پروژهی بلاک چین رخ داده، ممکن است برای همهی ما هم رخ دهد.
بیشتر بدانید: نکات مهم در امنیت کیف پول های سخت افزاری
بیشتر بدانید: هک کردن رمز عبور (PIN) کیف پول سخت افزاری
هک پروژه یرن فایننس (Yearn Finance)
در ادامهی ماجرای هک های کریپتویی، نوبت به پروژهی محبوب یرن فایننس (Yearn Finance) میرسد که در سال ۲۰۲۰ دردسرساز شد. در روز ۲۸ سپتامبر، بنیانگذار این پروژه آقای Andre Cronje در یک توییت، پروژهای جدید حوزهی گیمینگ به نام Eminence را معرفی کرد. در ادامه هم اعلام کرد که این پروژه هنوز تکمیل نشده و چند هفته تا پایان آن باقی مانده است.
توجه سرمایهگذارها و علاقهمندان این حوزه به حدی بود که عدهی زیادی از فعالان دیفای دچار FOMO (ترس عقب ماندن از سود بازار) شده و در نتیجه طی چند ساعت بیش از ۱۵ میلیون دلار سرمایه وارد قرارداد هوشمند این پلتفرم شد. از آنجایی که پروژه هنوز تستهای نهایی را نگذرانده بود، یک هکر توانست تمام ۱۵ میلیون دلار را از پلتفرم خارج کند. این هکر مرموز، نیمی از مبلغ سرقت شده را به کیف پول آقای Cronje واریز کرد تا او را هم شریک جرم جلوه دهد.
Cronje دراین ارتباط اعلام کرد:
"حدود ساعت ۳ نیمه شب بود که سیستم پیام داد مبلغ ۱۵ میلیون دلار از قرارداد این پلتفرم خارج شده و در ادامه، مبلغ ۸ میلیون دلار به اکانت شخصی من در پلتفرم Yearn واریز شد."
این اتفاق باعث شد دردسرهای زیادی برای پروژه یرن فایننس و بنیانگذار آن به وجود بیاید. اعضای این تیم تصمیم گرفتند با پیادهسازی یک فورک «Fork» شبکه را بهبود دهند. بسیاری از کاربرها نیز از آقای Cronje شکایت کردند و توییتهای تهدیدآمیز زیادی روانهی او شد.
نتیجه میگیریم واریز پول به پلتفرمهایی که هنوز به طور رسمی فعال نشدهاند کار بسیار خطرناکی است. تا زمانی که قراردادهای هوشمندِ یک پلتفرم دیفای تکمیل و تست نشده باشد، مثل یک گاوصندوق باز عمل میکند و ممکن است هر کسی بتواند به داراییهای آن دستدرازی کند.
ماجرای هک توییتر و سرقت دارایی های کریپتویی
هک های کریپتویی همیشه مربوط به پلتفرمهای بلاک چینی نیست و ممکن است کاربرها از راههای دیگر هم فریب بخورند. بارها در مورد فیشینگ شنیدهاید و در همین مقاله هم نکاتی در مورد آن بیان شد. خیلی وقتها حتی کارمندهای رده بالای شرکتهای بزرگ، فیشینگ را دست کم گرفته و باعث لورفتن اطلاعات حساس میشوند. چنین اتفاقی در سال ۲۰۲۰ برای کمپانی توییتر افتاد و چند هکر نوجوان توانستند از راه فیشینگ، اطلاعات ورود به اکانت برخی از کارمندهای این شرکت را به دست آورده و از طریق آن به حساب توییتر چند نفر از مشهورترین افراد دنیا مثل اوباما (رئیس جمهور سابق آمریکا)، بزوس (مالک آمازون) و... نفوذ کنند.
این هکرها با انتشار توییتهای غیرواقعی در اکانت اشخاص معروف، کاربرها را تشویق به واریز بیت کوین به کیف پولهای اعلام شده کردند، با این وعده که کاربرها دو برابر میزان بیت کوین واریزی را به عنوان هدیه دریافت خواهند کرد. این توییتها از اکانت افراد مهم و چندین سلبریتی دیگر منتشر شد. توييتر اعلام کرد که خوشبختانه هکرها دانش فنی زیادی نداشته و به نظر میرسد سرمایهی سرقت شده حدود ۱۲۱ هزار دلار به صورت بیت کوین باشد. در ادامه ۳ نوجوان که در این سرقت مشارکت داشتند دستگیر شدند.
البته این تنها حمله به توییتر نبود و در ژانویه ۲۰۲۱، یک بار دیگر توییتر مورد حمله هکرها قرار گرفت. این بار هکرها به روش ایلان ماسک عمل کردند و با انتشار خبرهای غیرواقعی از ارزهای مختلف، توانستند حدود ۵۰۰ هزار دلار به دست آوردند.
نتیجه میگیریم که هیچگاه نباید سادهلوح باشیم و فکر کنیم قرار است یک سلبریتی به ما پولهای بادآورده برساند. یک جملهی معروف انگلیسی میگوید: "If it sounds like a scam, it’s a scam" یعنی اگر به نظر میرسد کلاهبرداری باشد، پس کلاهبرداری است!
سخن پایانی
در این مقاله مروری داشتیم به ماجرای کلاهبرداری در ارزهای دیجیتال و هک های کریپتویی که در سال ۲۰۲۰ تجربههای زیادی به فعالان این حوزه اضافه کرد. همانطور که متوجه شدیم، فعالیت در حوزهی کریپتو و مخصوصاً پروژههای دیفای (امور مالی غیرمتمرکز) علاوه بر سرمایه، به دانش، دقت و تجربه نیز نیاز دارد. رعایت تمام این نکات در کنار آگاهی از اطلاعات اولیه دنیای دیجیتال و راههای سرقت اطلاعات شخصی در محیط اینترنت و شبکههای اجتماعی ضروری است.
با بررسی هک های کریپتویی در گذشته متوجه میشویم تنها یک اشتباه ممکن است داراییهای ما را، حتی اگر روی کیف پول سختافزاری ذخیره شده باشند، از بین ببرد. حملات فیشینگ از سادهترین و درعینحال دردسرسازترین روشهای سرقت اطلاعات و به دنبال آن دسترسی به داراییهای کاربرهاست و بارها دیده شده که بنیانگذارهای پروژههای کریپتویی را نیز به دام انداخته است.
امیدواریم پس از مطالعهی این مطالب، با آگاهی بیشتری در حوزهی کریپتو فعالیت کنید. ایمن و پرسود باشید.