در دو حادثه در هفته گذشته، هکرها در مجموع نزدیک به ۲۰۰ میلیون دلار ارز رمزنگاری شده را به سرقت بردند و به رکورد سالانهی ۲ میلیارد دلاری زیان صنعت به واسطهی دزدان اینترنتی و کلاهبرداران رسیدند.
"پایگاه رسانه ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم گیران، ترجمه هایی در این زمنیه منتشر می شود. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست."
به گزارش گرداب، وزارت خزانهداری امریکا این هفته یک سرویس ناشناس را به دلیل نقش ادعایی آن در پولشویی میلیاردها ارز دیجیتال تحریم کرد. این وزارتخانه به استفاده هکرها از تورنادو کش (Tornado Cash) برای پنهان کردن درآمدهای حاصل از بزرگترین هک رمزنگاری شناخته شده تا به امروز -دزدی ۶۲۰ میلیون دلاری ماه مارس- اشاره کرد.
چرا این هکهای بسیار بزرگ در فضای رمزارزها اتفاق میافتد؟ هیچ پاسخ قاطعی وجود ندارد، اما چندین دلیل وجود دارد که میتوانیم به آنها فکر کنیم:
پاسخ شماره ۱؛ اینجا جایی است که پول هست:
اولین و کوتاهترین پاسخ اصلی ممکن است تمسخرآمیز به نظر برسد. اما این پاسخ ویلی ساتون (Willie Sutton) به این سوال است که چرا از بانکها سرقت میکرد: «اینجا جایی است که پول هست».
برندا شارتون، رئیس جهانی بخش حریم خصوصی و امنیت در شرکت حقوقی Dechert، معتقد است که در همهگیری کووید ۱۹ تعداد و شدت حملات سایبری افزایش یافت و همچنین تعداد و حجم کیف پولهای رمزنگاری شده گسترش پیدا کرد. او به من گفت که این دو پدیده دست به دست هم میدهند.
یکی از انواع خاص فناوری ارزهای رمزپایه، یک هدف کاملاً تحقق یافته را ثابت کرده است: پلهای میان زنجیرهای (cross-chain bridges).
همکار من استیون زیتچیک توضیح میدهد: «پل بلاک چین به مصرفکنندگان اجازه میدهد تا ارز رمزنگاری شده را از یک بلاک چین به دیگری – مثلاً از بیتکوین به اتریوم – مبادله کنند. اما این قابلیت بلاک چین را در مورد آنچه کارشناسان امنیتی «هر دو طرف» مینامند، آسیبپذیر میکند».
همچنین، هفته گذشته شرکت تجزیه و تحلیل بلاک چین Chainalysis تخمین زد که ۶۹ درصد از سرمایههایی که هکرها در سال جاری به سرقت بردهاند به وسیلهی این گونه حملات صورت گرفته است.
پاسخ شماره ۲؛ این یک رفتار گستاخانه و مربوط به بلوغ صنعتی است:
آدام مایر، معاون ارشد اطلاعات در شرکت امنیت سایبری CrowdStrike به من گفت: «فین تک بسیار سریع در حال حرکت است. آن چیزی که در مورد استارتآپها میگویند: «به سرعت حرکت کنید و موانع را خراب کنید»، دربارهی بسیاری از استارتآپها صدق میکند. برخی از چیزهایی که در خارج از این امر وجود دارد، واقعاً جدید هستند و بنابراین استارتآپها واقعاً در مورد بردارهای حمله فکر نکردهاند».
سرمایهگذاران و بانکهای مستقر در بخش صنعت مالی استارتآپهای کریپتو، عمیقاً در امنیت سایبری سرمایهگذاری میکنند. مدیر اجرایی این شرکت سال گذشته گفت که بانک آمریکا سالانه بیش از یک میلیارد دلار برای دفاع سایبری هزینه میکند. اسکات کارلسون، رئیس امنیت داراییهای دیجیتال و بلاک چین در شرکت Kudelski Security، به من گفت که در طول صدها سال، بانکها یاد گرفتهاند که امنیت از همه نوع را در اولویت قرار دهند.
رایان اسپانیر، عضو تیم امنیت کودلسکی، نیز گفت: علاوه بر این، برخی از شرکتهای امنیت سایبری تمایل ندارند در بخش ارزهای دیجیتال دخالت کنند. آنها ممکن است شرکتهای رمزنگاری را یک مد کوتاه مدت در نظر بگیرند که تطبیق دادن آن با شیوههای حفاظتی موجود دشوار است. یا فضای رمزارزها را حوزهای از اقتصاد تلقی کنند که برای محیط زیست بد است.
اما اینها اخبار ۱۰۰ درصد منفی نیستند. چندین صرافی رمزنگاری که متحمل هکهای بزرگ شدهاند، دعوت به مصاحبه را رد کردند یا به درخواستها برای اظهار نظر پاسخ ندادند، اما فهرستهایی طولانی از پیشرفتهای امنیتی که پس از آن انجام دادهاند، برای من ارسال کردند.
علاوه بر این، برخی از فناوریها برای محافظت از ارزهای دیجیتال در برابر سرقت، مانند کیف پولهای سختافزاری، در حال ظهور هستند و برخی از روشهای قدیمیتر امنیت سایبری در جامعه دیده میشوند، مانند برنامههای پاداش باگ که در آن هکرهای اخلاقمدار به سازمانها کمک میکنند تا نقاط ضعف خود را پیدا کنند.
پاسخ شماره ۳؛ کریپتو قانون غرب وحشی است:
شرکتهای خدمات مالی سنتی و صاحبان آژانسهای فدرال - خواه کمیسیون بورس و اوراق بهادار (SEC) یا سازمان تنظیم مقررات صنعت مالی (FINRA)) - یکی از دقیقترین بخشها در مورد امنیت سایبری هستند. اما سازمانهای مربوط به ارزهای رمزنگاری شده هنوز تحت هیچ گونه نظارتی قرار نمیگیرند و برخی معتقدند به همین دلیل هک میشوند.
مشاور مستقل جان رید استارک به من گفت: «دلیل اول و مهمتر از همه این است که صرافیهای ارزهای دیجیتال، بر خلاف شرکتهای مالی ایالات متحده، مجبور به رعایت استانداردها و الزامات امنیتی سایبری دقیقی که SEC و FINRA و مقررات بانکی دارند، نیستند؛ بنابراین شما نمیدانید که چه نوع حفاظت از امنیت سایبری در این نهادها انجام میشود».
کارلسون نیز گفت، جامعه بلاک چین طبق سرشت خود ترجیح میدهد «کمتر تحت قوانین و تنظیمات قرار بگیرد، زیرا آنها میخواهند خود را از آنچه به عنوان مشکلات در سیستم موجود میپندارند، رها کنند».
این یک موضوع داغ در کاپیتول هیل (ساختمان کنگرهی آمریکا) است، جایی که قوانین دو حزبی تعیین میکند که چه کسی مسئول نظارت بر صنعت کریپتو است و آژانسها را به این سمت هدایت میکند تا قوانین امنیت سایبری را برای داراییهای دیجیتال مانند ارزهای دیجیتال ایجاد کنند. لایحه دو حزبی سناتور کریستن گیلیبراند (D-N.Y.) و سینتیا ام. لومیس (R-Wyo.) به کمیسیون معاملات آتی کالاها برای نظارت بر رمزارزها ارایه شده است. این لایحه رویکردی بر خلاف SEC دارد که موضع سختی علیه سوء استفادههای ارزهای دیجیتال اتخاذ کرده است.
شارتون گفت، اما تمرکز بر مقررات نادرست است. او گفت که دولت میتواند با زندانی کردن سارقان ارزهای دیجیتال به بهترین وجه کمک کند. برای مثال در یک مورد عجیب، یک کارت هدیه ۵۰۰ دلاری والمارت، مجریان قانون را به سمت مجرمان در هک قابل توجهی در سال ۲۰۱۶ هدایت کرد.
فارغ از اینها، مجموعهای از توضیحات احتمالی دیگری نیز وجود دارد:
برای سالها، تحلیلگران در تلاش بودهاند تا به آنچه در پشت مارپیچ هکهای رمزنگاری نهفته است، برسند. با این حال میتوان لیست زیر را به پاسخهای احتمالی افزود:
• این نوع از هک آسانتر از انواع دیگر هک است.
• اهداف مورد حمله دارای کارکنان امنیت سایبری کمتری هستند.
• سرقت رمزهای عبور و سایر اطلاعات کلیدی در مقیاس وسیعتری امکان پذیر است.
• گاهی اوقات دلایل دزدی از موردی به مورد دیگر متفاوت است، مانند مورد پیشنهاد شغلی جعلی.
آنچه مسلم است این است که هک کریپتو هزینه زیادی دارد. تازه در ماه گذشته، طلبکاران صرافی منحل شده ارزهای دیجیتال Mt. Gox گفتند که بازپرداخت طلب آنها ناشی از یک هک در سال ۲۰۱۴ نزدیک به پایان است.
______________________________
منبع: