Gerdab.IR | گرداب

به گزارش خبرنگار گرداب، هکر‌ها در سال اخیر تا بدین لحظه میلیارد‌ها دلار از سرمایه‌های مجازی را به سرقت برده‌اند و این کار را اغلب از طریق نفوذ به صرافی‌های رمزارز در طی رونق بیتکوین انجام داده‌اند.

بیش از ۲۰ هک بزرگ در سال اخیر اتفاق افتاده است که در آن‌ها سارق دیجیتالی حداقل ۱۰ میلیون دلار به شکل رمزارز از صرافی‌ها و یا پروژه‌های مشابه کریپتو به سرقت برده است. به گزارش شبکه تلویزیونی NBC در حداقل شش مورد هکر‌ها توانسته‌اند بیش از ۱۰۰ میلیون دلار سرقت کنند.

برای فهم بهتر ابعاد گسترده‌ی موضوع، می‌توان آن را با سرقت‌های بانکی مقایسه کرد که به‌طور میانگین در هریک از آن‌ها در آمریکا کمتر از ۵ هزار دلار به‌طور میانگین به سرقت رفته است.

علی‌رغم حجم عظیم سرمایه‌ی مسروقه، صرافی‌های رمزارز مانند بانک‌های سنتی اغلب روی این سرقت‌ها سرپوش می‌گذارند و ترجیح می‌دهند بی‌سروصدا از آن بگذرند. اما متخصصان رمزارز معتقدند که این قضیه یک هشدار جدی برای سرمایه‌گذاران کریپتو به‌شمار می‌رود. به‌هر‌روی در حال حاضر صرافی‌ها به یک هدف لاکچری برای هکر‌ها تبدیل شده اند که سارقان بی آنکه آب از آب تکان بخورد می‌توانند به آن‌ها دست‌درازی کنند و مبالغ هنگفت را از آن‌ها غارت کنند.

استبان کاستانیو، مدیرعامل و موسس شرکت TRM Labs، که ابزار‌هایی برای ردیابی سرمایه‌های دیجیتالی می‌سازد، در این باره می‌گوید: «امروز اگر هکری بتواند یکی از ۵۰۰ شرکت برتر دنیا را هک کند، شاید تنها تعدادی نام کاربری و گذرواژه عاید او شود؛ اما اگر یک صرافی رمزارز را هک کند، ممکن است بتواند میلیون‌ها دلار رمزارز به سرقت ببرد».

سرقت از بانک‌های مدرن

با رواج رمزارز‌ها که محصول مستقیم فراگیر شدن اینترنت و مهارتی عملی از حیطه‌ی فناوری است، این حوزه تبدیل به یکی از روش‌های اصلی برای سرمایه‌گذاران شده است و در سال‌های اخیر، ۳۰۰ شرکت شروع به ارائه‌ی خدمات می‌کنند تا افراد بتوانند به راحتی همه چیز را اعم از بیتکوین تا رمزارز‌های عجیب‌تری، چون دوج‌کوین (که از سگ الهام گرفته) خرید و فروش کنند.

صرافی‌های کریپتو اینجا نیز مانند صرافی‌های سنتی پول عمل می‌کنند: برای ارز‌های متنوع قیمت تعیین می‌کنند و کارمزد اندکی می‌گیرند تا امکان مبادله‌ی ارز‌ها را برای کاربران فراهم کنند. اما به رغم این که اکثر کشور‌ها در زمینه‌ی مبادلات ارزی مقررات سفت و سختی وضع کرده‌اند، مبادله‌ی ارز‌های دیجیتال و به راه انداختن صرافی‌های رمزارز برای شرکت‌های فناوری تقریبا در تمام دنیا امری آسان تلقی میشود.

رمزارز‌ها معمولا از استاندارد‌های امنیتی قابل توجهی برخوردار هستند؛ همانطور که از اسم آن‌ها برمی‌آید از طریق «رمزگذاری». اما صرافی‌هایی که این رمزارز‌ها را مدیریت می‌کنند، به‌خصوص آن‌ها که از صفر کسب‌ و کار خود را آغاز کرده‌اند، اغلب با تعداد کارمندان محدودی شروع می‌کنند؛ که یعنی تعداد اندکی از متخصصان امنیت سایبری تمام وقت را به استخدام خورد درآورده‌اند.

توسعه‌دهندگان آن‌ها اغلب پاره‌وقت کار می‌کنند تا کد پلتفرم را اجرا کنند و بسیاری اوقات تصادفی نواقص و ایراد‌هایی در این کد به جا می‌گذارند که ناخواسته راه را برای نفوذ هکر‌ها هموار می‌کند. این مسئله در کنار این که بازار پرنوسان سرمایه اغلب باعث می‌شود شرکت‌های نوپا ناگهان میزبان سرمایه‌ای هنگفت شوند، صرافی‌ها را به هدفی ایده‌آل برای سرقتی پربار و بی‌دردسر تبدیل میکند.

صرافی‌ها اغلب دسترسی خود را به رمزارزهایشان از طریق «کیف پول‌های سرد» حفظ می‌کنند. که، چون آفلاین هستند، از ایمنی بیشتری برخوردارند. در عوض، «کیف پول‌های گرم» که قابل نقد شدن هستند و می‌توان آن‌ها را برای کاربران فرستاد، چندان ایمن نیستند.

این بدین معناست که اگر هکری بتواند از طریق یکی از کارمند‌های صرافی به رخنه‌ای امنیتی بر روی اینترنت دسترسی پیدا کند، ممکن است سرقتی بزرگ رخ بدهد؛ چرا که اگر کلید‌های خصوصی یک کیف پول گرم به سرقت برود، این دیگر تنها سرقت پایگاه داده‌ای از اسامی و اطلاعات هویتی افراد نیست؛ بلکه به‌معنای به تاراج رفتن تمام اموال کاربران خواهد بود.

در این صورت چه بر سر سرمایه‌گذاران بینوا خواهد آمد؟ پاسخ ساده است؛ اگر صرافی به حد کافی ثروتمند باشد و برنامه‌ریزی آن به گونه‌ای باشد که سرمایه‌ای را برای موارد ضروری کنار نهاده باشد، درصورت هک شدن عملیات، می‌تواند به مشتریان خود غرامت پرداخت کند. در غیر این صورت، اکثرا صرافی‌ها به راحتی از دور بازار خارج می‌شوند.

مسئله اینجاست که همه‌ی صرافی‌ها ثروت یا درایت کافی برای این آینده‌نگری ندارند و در اکثریت قریب به اتفاق موارد، در نهایت مسئله به جملاتی از این دست ختم می‌شود که «ما از بازار خارج شدیم. متاسفیم. شما ورشکست شدید».

بزرگترین پرونده‌های سرقت از صرافی‌های کریپتو در سال اخیر

یکی از بزرگترین سرقت‌ها در اوایل ماه دسامبر (آذر ماه خورشیدی) اتفاق افتاد که پلتفرم خرید و فروش بیت‌مارت اعلام کرد هکر‌ها توانسته‌اند به این شرکت نفوذ کنند و حدود ۲۰۰ میلیون دلار را به سرقت ببرند. این شرکت تمام تراکنش‌های مشتریانش را به مدت سه روز مسدود ساخت و پس از آن دوباره امکان مبادله را برای آن‌ها فراهم کرد.

ممکن است در نگاه اول مشکل بسیار ساده به نظر برسد، اما سرقت از صرافی‌های ارز دیجیتال ابعاد مختلف و بسیار پیچیده‌ای دارد که به راحتی قابل پیگرد قانونی نیست. از جمله این که بسیاری از پروژه‌های رمزارز، برای فرار از رگولاتوری و قانون‌گذاری دولت‌ها در کشور‌هایی فعالیت می‌کنند که نیرو‌های پلیس و امنیتی آن توان اجرایی چندانی برای تعقیب قانونی هکر‌ها ندارند؛ و یا به دلایل دیگری خود این شرکت‌ها مایل نیستند تا از دولت‌ها برای پیگیری سرقت کمک بگیرند.

به طور مثال، سیاست کلی برخی از توسعه‌دهندگان این است که می‌خواهند پلتفرم و صرافی کریپتوی آن‌ها مخالف با بانک‌های سنتی و ضدنظارت به نظر برسد. از این‌رو در صورت رخ دادن چنین اتفاقاتی آن‌ها لزوما به دنبال همکاری با نهاد‌های امنیتی نیستند. حتی اگر نهاد امنیتی بتواند از آن‌ها دفاع کند، آن‌ها را قربانی تشخیص بدهد و ماجرا در نهایت به سود ایشان تمام شود.

در حالی که هک‌های صرافی‌ها اغلب شباهت‌هایی با سرقت از بانک‌های عادی دارد، اما معمولا به سرتیتر اخبار تبدیل نمی‌شوند و علی‌رغم گستردگی حجم ثروتی که دزدیده میشود، تحقیق و تفحص عمومی نیز در مورد این هک‌ها معمولا وجود ندارد.

بسیاری از هکر‌های صرافی‌های کریپتو دستگیر نمی‌شوند و اغلب خسارت اندکی به مشتریان پرداخت می‌شود. سرقت‌ها معمولا به گونه‌ای سازماندهی می‌شود که ردی از سارق به‌جا نمی‌ماند و در نتیجه معمولا عواقبی نیز برای هکر‌ها به همراه ندارد.

با این همه، جالب است بدانیم مواردی از این هک‌ها پایان خوشی نیز داشته اند. به‌طور مثال در یک مورد عجیب، هکر ۶۰۰ میلیون از پلتفرم رمزارز پالی نتورک (Poly Network) به سرقت برد. این شرکت به جای مقصر دانستن سارق دیجیتال، تصمیم گرفت که او را «آقای کلاه سفید» بنامد.

این اصطلاح در دنیای امنیت سایبری به پژوهشگری اطلاق می‌شود که در نهایت به بالا رفتن امنیت کمک می‌کند. پالی نتورک از این هکر تشکر کرد که نقص امنیتی در کد آن‌ها را آشکار کرده است و از او درخواست کرد که پول را برگرداند. هکر نیز در نهایت تسلیم شد و تمام پول را برگرداند.

چنین مواردی جالب، اما بسیار نادر هستند. معمولا وقتی که آژانس‌های امنیتی وارد داستان هک رمزارز می‌شوند، تلاش می‌کنند تا هر سرنخی را دنبال کنند؛ فرایندی طاقت‌فرسا که در نهایت هرگز به گردپای مجرمان نیز نمی‌رسد.

کلیر گئورگ (Claire Georges) جانشین سخن‌گوی نیروی امنیتی بین‌المللی اتحادیه‌ی اروپا (یوروپل)، اعلام کرده است که این آژانس از تعدادی پرونده پیرامون سرقت سرمایه‌ی دیجیتال اطلاع دارد. اما به گفته‌ی او ایجاد پرونده‌ی حقوقی قابل دفاع، فرایندی طولانی و بسیار زمان‌بر است که با سرعت بالای این نوع حملات سازگاری ندارد. او می‌گوید:

«ما تحقیقات زیادی در دست اجرا داریم که بسیار زمان‌برند؛ زیرا در چشم‌اندازی کلی‌تر به دنبال این هستیم که کل شبکه‌ی مجرمانه را نابود کنیم. این پرونده‌ها اغلب سرمایه‌ی پرونده‌های دیگر را تامین می‌کنند. دنبال کردن یک پرونده ممکن است تا بی‌نهایت پیش برود. به همین دلیل این تحقیقات معمولا زمان بسیار زیادی می‌گیرند.»

با توجه به این مسائل باید گفت صرافی ارز دیجیتال نمی‌تواند به‌ تنهایی ایمنی را برای سرمایه‌گذاران به همراه بیاورد. خطرات جدید امنیتی و امکان هک شدن مداوم صرافی‌ها باعث می‌شود که ریسک سرمایه‌گذاری در این بازار بسیار بالا باشد و کاربران باید قبل از ورود، آشنایی کافی با این حوزه داشته باشند.