بزرگترین هک های کریپتویی در سال ۲۰۲۰

در سال گذشته‌ی میلادی (سال ۲۰۲۰) اتفاقات بسیار تلخی در دنیا افتاد و دنیای کریپتو هم از این نظر بی‌نصیب نبود. درست است که در سه ماهه‌ی پایانی ۲۰۲۰، بیت کوین و تمام بازار کریپتو یک جهش صعودی چندصددرصدی داشتند و سود‌های زیادی نصیب سرمایه‌گذارهای این حوزه شد، ولی پروژه‌های زیادی هم هک شدند و متأسفانه ضررهای جبران‌ناپذیری به کاربرهای این پلتفرم‌ها وارد شد. از آنجایی که در هر اتفاق ناگوار، درس‌ها و تجربه‌هایی پنهان شده، تصمیم گرفتیم در این مقاله‌ از وبلاگ ولت سنتر، مروری بر بزرگترین هک های کریپتویی در سال ۲۰۲۰ داشته و سطح دانش خود را به عنوان کاربرهای این حوزه افزایش دهیم.

به خاطر داشته باشید که تعریف امنیت در دنیای فناوری‌های غیرمتمرکز و به‌خصوص بلاک چین و ارزهای دیجیتال، رابطه‌ی مستقیمی با دانش و مسئولیت‌پذیری کاربرها دارد. بسیاری از هک‌های بزرگ تاریخ، در اثر عدم رعایت چند نکته‌ی ساده رخ داده‌اند. پس توصیه می‌شود با افزایش آگاهی و رعایت نکات ایمنی، امنیت سرمایه‌های خود را تضمین کنید.

هک داده های شرکت لجر

سال ۲۰۲۰ یکی از بدترین سال‌ها برای کمپانی خوش‌‌نام «لجر» (Ledger)، تولید‌کننده‌ی کیف پول‌های سخت‌افزاری لجر بود. در ماه جولای بود که این شرکت متوجه شد اطلاعات شخصی ۲۷۰ هزار نفر و ایمیل بیش از یک میلیون نفر از کاربرهایش لو رفته است. لجر همچینن اعلام کرد که اطلاعات بیش از ۲۰ هزار نفر با کمک افرادی از داخل شرکت Shopify‌ به سرقت رفته است.

این سبک اطلاعاتِ لو رفته، در اغلب موارد به «حملات فیشینگ» (Phishing Attacks) ختم می‌شوند و متأسفانه همین اتفاق برای تعداد زیادی از کاربرهای لجر افتاد. ما در این باره به طور مفصل در مقاله «حمله فیشینگ به کیف پول های سخت افزاری لجر» صحبت کرده‌ایم که در صورت تمایل می‌توانید آن را نیز مطالعه کنید.

در اغلب موارد، با استفاده از آدرس‌های ایمیل، پیام‌هایی غیرواقعی به کاربرها ارسال شده که آن‌ها می‌خواهد به یک لینک که آدرسی مشابه سایت لجر دارد مراجعه کنند. در ادامه، یا از کاربرها به بهانه‌های مختلف خواسته می‌شود که کلمات بازیابی خود را وارد کنند یا اینکه نرم‌افزار «لجر لایو» (Ledger Live) خود را با استفاده از یک لینک غیرواقعی به روزرسانی کنند. در هر دوصورت، اطلاعات حساب کاربرها هک شده و تمام دارایی‌ها به سرقت می‌رود.

شرکت لجر مدتی بعد، اعلام کرد که دارایی هزاران کاربر از این طریق به سرقت رفته است. حتی مواردی هم گزارش‌ شد که سارقین از راه تعویض سیم‌کارت یا حتی حمله به محل سکونت کاربرها و تهدید فیزیکی، دارایی آن‌ها را به سرقت برده‌اند.

هک صرافی کوکوین (KuCoin)

ماجرای هک شدن صرافی‌ها در دنیای کریپتو همواره وجود داشته و به همین دلیل توصیه می‌شود برای هولد کردن از کیف پول‌ صرافی‌ها استفاده نکنید. در سپتامبر ۲۰۲۰ مشخص شد که هکرها با دسترسی به «کلیدهای خصوصیِ» (Private Keys) کیف پول‌های صرافی توانستند مبلغ ۲۸۱ میلیون دلار را از این صرافی خارج کنند. صرافی کوکوین به محض متوجه شدن، تمام دارایی‌ها را فریز کرد تا جلوی ضررهای بعدی گرفته شود.

اینکه در این هک کریپتویی، هکرها دقیقاً از چه راهی توانستند به کلیدهای خصوصی صرافی دست پیدا کنند، هنوز مشخص نیست؛ اما با توجه به اینکه طبق آمار، بیش از ۸۴ درصد هک‌ها از طریق «مهندسی شبکه‌های اجتماعی» صورت می‌گیرد، به نظر می‌رسد این هک هم از همین روش انجام شده است. منظور از مهندسی شبکه‌های اجتماعی، برنامه‌ریزی برای دستیابی به اطلاعات حساس کاربرها از طریق تشویق و فریب آن‌ها در پلتفرم‌های مختلف اجتماعی است.

هکرها به محض اینکه کنترل دارایی‌ها را به دست گرفتند، آن‌ها را از طریق انواع کوین میکسرها (Coin-mixers) جابه‌جا کرده یا در پلتفرم‌های مختلف «دیفای» (DeFi) مثل «یونی سواپ» (UniSwap) به فروش رساندند.

در ادامه طی مجموعه اقداماتی که به «Scavenger hunt» معروف است، ‌Bitfinex کمپانی سازنده‌ی استیبل کوین تتر اعلام کرد که ۳۳ میلیون دلار از دارایی‌های به سرقت رفته‌ی کوکوین را فریز یا بلوکه کرده است. صرافی کوکوین هم مدتی بعد اعلام کرد که توانسته رد ۲۰۴ میلیون دلار از دارایی‌ها را گرفته و بازگردانی کند. بقیه‌ی مبلغ هم از طریق صندوق بیمه صرافی به کاربرها بازگردانده شد.

هک قراردادهای هوشمند پروژه های دیفای

همان‌طور که می‌دانید، سال ۲۰۲۰ به سال انفجار پروژه‌های «دیفای» (یا همان امور مالی غیرمتمرکز) معروف است. اکثر پلتفرم‌های این حوزه برنامه‌های غیرمتمرکزی هستند که بر اساس «قراردادهای هوشمند» (Smart Contracts) کار می‌کنند. هرچند این حوزه توانست دنیا را با افق‌های جدیدی در فناوری‌های امور مالی آشنا کند، اما از آنجایی که کلیه‌ی کدهای این پلتفرم‌ها توسط انسان‌ها نوشته می‌شود، همیشه احتمال وقوع خطا و گاهی خطاهای بسیار بزرگ وجود دارد.

یک مطالعه در سال ۲۰۱۸ نشان داد که حدود ۴۵ درصد قراردادهای هوشمند دارای نقاط ضعف و آسیب‌پذیری هستند. این قضیه زمانی تشدید می‌شود که بدانیم پس از پیاده‌سازی و شروع به کار چنین پلتفرم‌هایی، امکان اعمال تغییرات اساسی در آن‌ها بسیار کم است. پس اگر سیستم دارای خطا یا ایراد مهمی باشد، این مشکل تا مدت‌ها ماندگار خواهد بود.

در سال ۲۰۲۰ چندین پروژه‌ی دیفای هک شدند. اولین مورد از هک های کریپتویی این حوزه، در ماه فوریه در پلتفرم وام‌دهی bZx اتفاق افتاد. جالب است بدانید که این پلتفرم در یک مدت کوتاه، دو بار هک شد و حدود ۱ میلیون دلار به سرقت رفت. در ادامه نوبت به پلتفرم چینی DForce‌ رسید. هکرها توانستند یک باگ مهم در استاندارد توکن‌نویسی این صرافی یعنی ERC-777 پیدا کرده و از طریق آن، در مدت چند ساعت، موجودیِ چند «استخر نقدینگی» (Liquidity Pool) را به ارزش ۲۵ میلیون دلار تخلیه کنند. گزارش‌های مختلفی از چنین حملاتی به استخرهای نقدینگی در سال ۲۰۲۰ منتشر شده است.

یکی دیگر از حوزه‌های جذاب دیفای، «ییلد فارمینگ» (Yield Farming) است که به آن Liquidity Farming هم گفته می‌شود. در سال ۲۰۲۰ شاهد ورود حجم زیادی از سرمایه‌ها به این بخش بودیم. چنین جوی باعث شد پروژه‌های مختلف برای عقب نماندن از قافله، با سرعت پلتفرم‌های خود را راه‌اندازی کنند و همین امر احتمال وجود باگ در آن‌ها را به شدت افزایش داد. در این حوزه، کاربرها می‌توانند با تأمین نقدینگی لازم پلتفرم‌ها، سود‌های جذابی کسب کنند. بعد از موفقیت پروژه‌های YFI، Compound، Curve و غیره سروکله‌های پروژه‌های بی‌شماری پیدا شد که بسیاری از آن‌ها کپی‌های دستکاری‌شده‌ی دیگر پروژه‌ها بودند. در بسیاری از این پروژه‌ها پس از رسیدن سرمایه به یک مقدار قابل توجه، توسعه‌ دهنده‌های آن پروژه دارایی‌ها را تخلیه و کلاهبرداری می‌کردند.

هک پروژه DeFi Mutual

یکی دیگر از هک های کریپتویی سال ۲۰۲۰ مربوط به پلتفرم DeFi Mutual است که در آن یک هکر توانست با فریب دادن بنیان‌گذار این پروژه، مبلغ ۸ میلیون دلار را سرقت کند. این حمله از طریق مهندسی شبکه‌های اجتماعی صورت گرفت و هکر توانست با نصب یک نسخه‌ی دستکاری‌شده‌ی برنامه‌ی «متامسک» (MetaMask) روی کامپیوتر بنیان‌گذار پروژه، ۸.۲ میلیون دلار از دارایی‌ها را به کیف پول خودش منتقل کند.

موضوع وقتی جذاب‌تر می‌شود که متوجه می‌شویم بنیان‌گذار این پروژه آقای Karp از یک کیف پول سخت‌افزاری برای ذخیره‌ی دارایی‌ها استفاده می‌کرده است. می‌دانیم که کیف پول‌های سخت‌افزاری امکان نفوذ از طریق اینترنت را از بین می‌برند و انجام تراکنش در آن‌ها مستلزم انجام یک اقدام فیزیکی مثل فشردن دکمه روی دستگاه است و امکان دستکاری اطلاعات روی صفحه نمایش این کیف پول‌ها وجود ندارد.

ماجرا از این قرار بود که هکر توانسته بود از راه دسترسی به کامپیوتر این شخص، اطلاعات تراکنش را تغییر دهد و مقصد جدیدی برای آن تعریف کند. زمانی که Karp تراکنش مربوطه را به طور فیزیکی تأیید می‌کند، حجم زیادی از دارایی‌ها به سرقت می‌رود.

نتیجه می‌گیریم که امنیت اطلاعات شخصی در فضای آنلاین اهمیت زیادی دارد و همیشه باید مراقب مرورگرها و کیف پول‌های تحت وب خود باشیم. اگر چنین اتفاقی برای بنیان‌گذار یک پروژه‌ی بلاک چین رخ داده، ممکن است برای همه‌ی ما هم رخ دهد.

بیشتر بدانید: نکات مهم در امنیت کیف پول های سخت افزاری

بیشتر بدانید: هک کردن رمز عبور (PIN) کیف پول سخت افزاری

هک پروژه یرن فایننس (Yearn Finance)

در ادامه‌ی ماجرای هک های کریپتویی، نوبت به پروژه‌ی محبوب یرن فایننس (Yearn Finance) می‌رسد که در سال ۲۰۲۰ دردسرساز شد. در روز ۲۸ سپتامبر، بنیان‌گذار این پروژه آقای Andre Cronje در یک توییت، پروژه‌ای جدید حوزه‌ی گیمینگ به نام Eminence را معرفی کرد. در ادامه هم اعلام کرد که این پروژه هنوز تکمیل نشده و چند هفته تا پایان آن باقی مانده است.

توجه سرمایه‌گذارها و علاقه‌مندان این حوزه به حدی بود که عده‌ی زیادی از فعالان دیفای دچار FOMO (ترس عقب ماندن از سود بازار) شده و در نتیجه طی چند ساعت بیش از ۱۵ میلیون دلار سرمایه وارد قرارداد هوشمند این پلتفرم شد. از آنجایی که پروژه هنوز تست‌های نهایی را نگذرانده بود، یک هکر توانست تمام ۱۵ میلیون دلار را از پلتفرم خارج کند. این هکر مرموز، نیمی از مبلغ سرقت شده را به کیف پول آقای Cronje واریز کرد تا او را هم شریک جرم جلوه دهد.

Cronje‌ دراین ارتباط اعلام کرد:

"حدود ساعت ۳ نیمه شب بود که سیستم پیام داد مبلغ ۱۵ میلیون دلار از قرارداد این پلتفرم خارج شده و در ادامه، مبلغ ۸ میلیون دلار به اکانت شخصی من در پلتفرم Yearn‌ واریز شد."

این اتفاق باعث شد دردسرهای زیادی برای پروژه یرن فایننس و بنیان‌گذار آن به وجود بیاید. اعضای این تیم تصمیم گرفتند با پیاده‌سازی یک فورک «Fork» شبکه را بهبود دهند. بسیاری از کاربرها نیز از آقای Cronje شکایت کردند و توییت‌های تهدیدآمیز زیادی روانه‌ی او شد.

نتیجه‌ می‌گیریم واریز پول به پلتفرم‌هایی که هنوز به طور رسمی فعال نشده‌اند کار بسیار خطرناکی است. تا زمانی که قراردادهای هوشمندِ یک پلتفرم دیفای تکمیل و تست نشده باشد، مثل یک گاوصندوق باز عمل می‌کند و ممکن است هر کسی بتواند به دارایی‌های آن دست‌درازی کند.

ماجرای هک توییتر و سرقت دارایی های کریپتویی

هک های کریپتویی همیشه مربوط به پلتفرم‌های بلاک چینی نیست و ممکن است کاربرها از راه‌های دیگر هم فریب بخورند. بارها در مورد فیشینگ شنیده‌اید و در همین مقاله هم نکاتی در مورد آن بیان شد. خیلی وقت‌ها حتی کارمندهای رده بالای شرکت‌های بزرگ، فیشینگ را دست کم گرفته و باعث لورفتن اطلاعات حساس می‌شوند. چنین اتفاقی در سال ۲۰۲۰ برای کمپانی توییتر افتاد و چند هکر نوجوان توانستند از راه فیشینگ، اطلاعات ورود به اکانت برخی از کارمندهای این شرکت را به دست آورده و از طریق آن به حساب توییتر چند نفر از مشهور‌ترین افراد دنیا مثل اوباما (رئیس جمهور سابق آمریکا)، بزوس (مالک آمازون) و... نفوذ کنند.

این هکرها با انتشار توییت‌های غیرواقعی در اکانت اشخاص معروف، کاربرها را تشویق به واریز بیت کوین به کیف پول‌های اعلام شده کردند، با این وعده که کاربرها دو برابر میزان بیت کوین واریزی را به عنوان هدیه دریافت خواهند کرد. این توییت‌ها از اکانت افراد مهم و چندین سلبریتی دیگر منتشر شد. توييتر اعلام کرد که خوشبختانه هکرها دانش فنی زیادی نداشته و به نظر می‌رسد سرمایه‌ی سرقت شده حدود ۱۲۱ هزار دلار به صورت بیت کوین باشد. در ادامه ۳ نوجوان که در این سرقت مشارکت داشتند دستگیر شدند.

البته این تنها حمله‌ به توییتر نبود و در ژانویه ۲۰۲۱، یک بار دیگر توییتر مورد حمله هکرها قرار گرفت. این بار هکرها به روش ایلان ماسک عمل کردند و با انتشار خبرهای غیرواقعی از ارزهای مختلف، توانستند حدود ۵۰۰ هزار دلار به دست آوردند.

نتیجه می‌گیریم که هیچ‌گاه نباید ساده‌لوح باشیم و فکر کنیم قرار است یک سلبریتی به ما پول‌های بادآورده برساند. یک جمله‌ی معروف انگلیسی می‌گوید: "If it sounds like a scam, it’s a scam" یعنی اگر به نظر می‌رسد کلاهبرداری باشد، پس کلاهبرداری است!

سخن پایانی

در این مقاله مروری داشتیم به ماجرای کلاهبرداری در ارزهای دیجیتال و هک های کریپتویی که در سال ۲۰۲۰ تجربه‌های زیادی به فعالان این حوزه‌ اضافه کرد. همان‌طور که متوجه شدیم، فعالیت در حوزه‌ی کریپتو و مخصوصاً پروژه‌های دیفای (امور مالی غیرمتمرکز) علاوه بر سرمایه،‌ به دانش، دقت و تجربه نیز نیاز دارد. رعایت تمام این نکات در کنار آگاهی از اطلاعات اولیه دنیای دیجیتال و راه‌های سرقت اطلاعات شخصی در محیط اینترنت و شبکه‌های اجتماعی ضروری است.

با بررسی هک های کریپتویی در گذشته متوجه می‌شویم تنها یک اشتباه ممکن است دارایی‌های ما را،‌ حتی اگر روی کیف پول سخت‌افزاری ذخیره ‌شده باشند،‌ از بین ببرد. حملات فیشینگ از ساده‌ترین و در‌عین‌حال دردسرسازترین روش‌های سرقت اطلاعات و به دنبال آن دسترسی به دارایی‌های کاربرهاست و بارها دیده شده که بنیان‌گذارهای پروژه‌های کریپتویی را نیز به دام انداخته است.

امیدواریم پس از مطالعه‌ی این مطالب، با آگاهی بیشتری در حوزه‌ی کریپتو فعالیت کنید. ایمن و پرسود باشید.