تنها سرمایهگذارانِ خوششانس نیستند که از دنیای کریپتو ثروتمند میشوند؛ این بازار مکاره، منبع سرمایهی خوبی برای هکرها نیز هست.
به گزارش خبرنگار گرداب، هکرها در سال اخیر تا بدین لحظه میلیاردها دلار از سرمایههای مجازی را به سرقت بردهاند و این کار را اغلب از طریق نفوذ به صرافیهای رمزارز در طی رونق بیتکوین انجام دادهاند.
بیش از ۲۰ هک بزرگ در سال اخیر اتفاق افتاده است که در آنها سارق دیجیتالی حداقل ۱۰ میلیون دلار به شکل رمزارز از صرافیها و یا پروژههای مشابه کریپتو به سرقت برده است. به گزارش شبکه تلویزیونی NBC در حداقل شش مورد هکرها توانستهاند بیش از ۱۰۰ میلیون دلار سرقت کنند.
برای فهم بهتر ابعاد گستردهی موضوع، میتوان آن را با سرقتهای بانکی مقایسه کرد که بهطور میانگین در هریک از آنها در آمریکا کمتر از ۵ هزار دلار بهطور میانگین به سرقت رفته است.
علیرغم حجم عظیم سرمایهی مسروقه، صرافیهای رمزارز مانند بانکهای سنتی اغلب روی این سرقتها سرپوش میگذارند و ترجیح میدهند بیسروصدا از آن بگذرند. اما متخصصان رمزارز معتقدند که این قضیه یک هشدار جدی برای سرمایهگذاران کریپتو بهشمار میرود. بههرروی در حال حاضر صرافیها به یک هدف لاکچری برای هکرها تبدیل شده اند که سارقان بی آنکه آب از آب تکان بخورد میتوانند به آنها دستدرازی کنند و مبالغ هنگفت را از آنها غارت کنند.
استبان کاستانیو، مدیرعامل و موسس شرکت TRM Labs، که ابزارهایی برای ردیابی سرمایههای دیجیتالی میسازد، در این باره میگوید: «امروز اگر هکری بتواند یکی از ۵۰۰ شرکت برتر دنیا را هک کند، شاید تنها تعدادی نام کاربری و گذرواژه عاید او شود؛ اما اگر یک صرافی رمزارز را هک کند، ممکن است بتواند میلیونها دلار رمزارز به سرقت ببرد».
سرقت از بانکهای مدرن
با رواج رمزارزها که محصول مستقیم فراگیر شدن اینترنت و مهارتی عملی از حیطهی فناوری است، این حوزه تبدیل به یکی از روشهای اصلی برای سرمایهگذاران شده است و در سالهای اخیر، ۳۰۰ شرکت شروع به ارائهی خدمات میکنند تا افراد بتوانند به راحتی همه چیز را اعم از بیتکوین تا رمزارزهای عجیبتری، چون دوجکوین (که از سگ الهام گرفته) خرید و فروش کنند.
صرافیهای کریپتو اینجا نیز مانند صرافیهای سنتی پول عمل میکنند: برای ارزهای متنوع قیمت تعیین میکنند و کارمزد اندکی میگیرند تا امکان مبادلهی ارزها را برای کاربران فراهم کنند. اما به رغم این که اکثر کشورها در زمینهی مبادلات ارزی مقررات سفت و سختی وضع کردهاند، مبادلهی ارزهای دیجیتال و به راه انداختن صرافیهای رمزارز برای شرکتهای فناوری تقریبا در تمام دنیا امری آسان تلقی میشود.
رمزارزها معمولا از استانداردهای امنیتی قابل توجهی برخوردار هستند؛ همانطور که از اسم آنها برمیآید از طریق «رمزگذاری». اما صرافیهایی که این رمزارزها را مدیریت میکنند، بهخصوص آنها که از صفر کسب و کار خود را آغاز کردهاند، اغلب با تعداد کارمندان محدودی شروع میکنند؛ که یعنی تعداد اندکی از متخصصان امنیت سایبری تمام وقت را به استخدام خورد درآوردهاند.
توسعهدهندگان آنها اغلب پارهوقت کار میکنند تا کد پلتفرم را اجرا کنند و بسیاری اوقات تصادفی نواقص و ایرادهایی در این کد به جا میگذارند که ناخواسته راه را برای نفوذ هکرها هموار میکند. این مسئله در کنار این که بازار پرنوسان سرمایه اغلب باعث میشود شرکتهای نوپا ناگهان میزبان سرمایهای هنگفت شوند، صرافیها را به هدفی ایدهآل برای سرقتی پربار و بیدردسر تبدیل میکند.
صرافیها اغلب دسترسی خود را به رمزارزهایشان از طریق «کیف پولهای سرد» حفظ میکنند. که، چون آفلاین هستند، از ایمنی بیشتری برخوردارند. در عوض، «کیف پولهای گرم» که قابل نقد شدن هستند و میتوان آنها را برای کاربران فرستاد، چندان ایمن نیستند.
این بدین معناست که اگر هکری بتواند از طریق یکی از کارمندهای صرافی به رخنهای امنیتی بر روی اینترنت دسترسی پیدا کند، ممکن است سرقتی بزرگ رخ بدهد؛ چرا که اگر کلیدهای خصوصی یک کیف پول گرم به سرقت برود، این دیگر تنها سرقت پایگاه دادهای از اسامی و اطلاعات هویتی افراد نیست؛ بلکه بهمعنای به تاراج رفتن تمام اموال کاربران خواهد بود.
در این صورت چه بر سر سرمایهگذاران بینوا خواهد آمد؟ پاسخ ساده است؛ اگر صرافی به حد کافی ثروتمند باشد و برنامهریزی آن به گونهای باشد که سرمایهای را برای موارد ضروری کنار نهاده باشد، درصورت هک شدن عملیات، میتواند به مشتریان خود غرامت پرداخت کند. در غیر این صورت، اکثرا صرافیها به راحتی از دور بازار خارج میشوند.
مسئله اینجاست که همهی صرافیها ثروت یا درایت کافی برای این آیندهنگری ندارند و در اکثریت قریب به اتفاق موارد، در نهایت مسئله به جملاتی از این دست ختم میشود که «ما از بازار خارج شدیم. متاسفیم. شما ورشکست شدید».
بزرگترین پروندههای سرقت از صرافیهای کریپتو در سال اخیر
یکی از بزرگترین سرقتها در اوایل ماه دسامبر (آذر ماه خورشیدی) اتفاق افتاد که پلتفرم خرید و فروش بیتمارت اعلام کرد هکرها توانستهاند به این شرکت نفوذ کنند و حدود ۲۰۰ میلیون دلار را به سرقت ببرند. این شرکت تمام تراکنشهای مشتریانش را به مدت سه روز مسدود ساخت و پس از آن دوباره امکان مبادله را برای آنها فراهم کرد.
ممکن است در نگاه اول مشکل بسیار ساده به نظر برسد، اما سرقت از صرافیهای ارز دیجیتال ابعاد مختلف و بسیار پیچیدهای دارد که به راحتی قابل پیگرد قانونی نیست. از جمله این که بسیاری از پروژههای رمزارز، برای فرار از رگولاتوری و قانونگذاری دولتها در کشورهایی فعالیت میکنند که نیروهای پلیس و امنیتی آن توان اجرایی چندانی برای تعقیب قانونی هکرها ندارند؛ و یا به دلایل دیگری خود این شرکتها مایل نیستند تا از دولتها برای پیگیری سرقت کمک بگیرند.
به طور مثال، سیاست کلی برخی از توسعهدهندگان این است که میخواهند پلتفرم و صرافی کریپتوی آنها مخالف با بانکهای سنتی و ضدنظارت به نظر برسد. از اینرو در صورت رخ دادن چنین اتفاقاتی آنها لزوما به دنبال همکاری با نهادهای امنیتی نیستند. حتی اگر نهاد امنیتی بتواند از آنها دفاع کند، آنها را قربانی تشخیص بدهد و ماجرا در نهایت به سود ایشان تمام شود.
در حالی که هکهای صرافیها اغلب شباهتهایی با سرقت از بانکهای عادی دارد، اما معمولا به سرتیتر اخبار تبدیل نمیشوند و علیرغم گستردگی حجم ثروتی که دزدیده میشود، تحقیق و تفحص عمومی نیز در مورد این هکها معمولا وجود ندارد.
بسیاری از هکرهای صرافیهای کریپتو دستگیر نمیشوند و اغلب خسارت اندکی به مشتریان پرداخت میشود. سرقتها معمولا به گونهای سازماندهی میشود که ردی از سارق بهجا نمیماند و در نتیجه معمولا عواقبی نیز برای هکرها به همراه ندارد.
با این همه، جالب است بدانیم مواردی از این هکها پایان خوشی نیز داشته اند. بهطور مثال در یک مورد عجیب، هکر ۶۰۰ میلیون از پلتفرم رمزارز پالی نتورک (Poly Network) به سرقت برد. این شرکت به جای مقصر دانستن سارق دیجیتال، تصمیم گرفت که او را «آقای کلاه سفید» بنامد.
این اصطلاح در دنیای امنیت سایبری به پژوهشگری اطلاق میشود که در نهایت به بالا رفتن امنیت کمک میکند. پالی نتورک از این هکر تشکر کرد که نقص امنیتی در کد آنها را آشکار کرده است و از او درخواست کرد که پول را برگرداند. هکر نیز در نهایت تسلیم شد و تمام پول را برگرداند.
چنین مواردی جالب، اما بسیار نادر هستند. معمولا وقتی که آژانسهای امنیتی وارد داستان هک رمزارز میشوند، تلاش میکنند تا هر سرنخی را دنبال کنند؛ فرایندی طاقتفرسا که در نهایت هرگز به گردپای مجرمان نیز نمیرسد.
کلیر گئورگ (Claire Georges) جانشین سخنگوی نیروی امنیتی بینالمللی اتحادیهی اروپا (یوروپل)، اعلام کرده است که این آژانس از تعدادی پرونده پیرامون سرقت سرمایهی دیجیتال اطلاع دارد. اما به گفتهی او ایجاد پروندهی حقوقی قابل دفاع، فرایندی طولانی و بسیار زمانبر است که با سرعت بالای این نوع حملات سازگاری ندارد. او میگوید:
«ما تحقیقات زیادی در دست اجرا داریم که بسیار زمانبرند؛ زیرا در چشماندازی کلیتر به دنبال این هستیم که کل شبکهی مجرمانه را نابود کنیم. این پروندهها اغلب سرمایهی پروندههای دیگر را تامین میکنند. دنبال کردن یک پرونده ممکن است تا بینهایت پیش برود. به همین دلیل این تحقیقات معمولا زمان بسیار زیادی میگیرند.»
با توجه به این مسائل باید گفت صرافی ارز دیجیتال نمیتواند به تنهایی ایمنی را برای سرمایهگذاران به همراه بیاورد. خطرات جدید امنیتی و امکان هک شدن مداوم صرافیها باعث میشود که ریسک سرمایهگذاری در این بازار بسیار بالا باشد و کاربران باید قبل از ورود، آشنایی کافی با این حوزه داشته باشند.