هکر‌ها چگونه میلیارد‌ها دلار ارز دیجیتال به سرقت می‌برند؟

هکر‌ها چگونه میلیارد‌ها دلار ارز دیجیتال به سرقت می‌برند؟
تاریخ انتشار : ۳۱ مرداد ۱۴۰۱

در دو حادثه در هفته گذشته، هکر‌ها در مجموع نزدیک به ۲۰۰ میلیون دلار ارز رمزنگاری شده را به سرقت بردند و به رکورد سالانه‌ی ۲ میلیارد دلاری زیان صنعت به واسطه‌ی دزدان اینترنتی و کلاهبرداران رسیدند.

"پایگاه رسانه ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم گیران، ترجمه هایی در این زمنیه منتشر می شود. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست."

به گزارش گرداب، وزارت خزانه‌داری امریکا این هفته یک سرویس ناشناس را به دلیل نقش ادعایی آن در پولشویی میلیارد‌ها ارز دیجیتال تحریم کرد. این وزارتخانه به استفاده هکر‌ها از تورنادو کش (Tornado Cash) برای پنهان کردن درآمد‌های حاصل از بزرگترین هک رمزنگاری شناخته شده تا به امروز -دزدی ۶۲۰ میلیون دلاری ماه مارس- اشاره کرد.

چرا این هک‌های بسیار بزرگ در فضای رمزارز‌ها اتفاق می‌افتد؟ هیچ پاسخ قاطعی وجود ندارد، اما چندین دلیل وجود دارد که می‌توانیم به آن‌ها فکر کنیم:

پاسخ شماره ۱؛ اینجا جایی است که پول هست:

اولین و کوتاه‌ترین پاسخ اصلی ممکن است تمسخرآمیز به نظر برسد. اما این پاسخ ویلی ساتون (Willie Sutton) به این سوال است که چرا از بانک‌ها سرقت می‌کرد: «اینجا جایی است که پول هست».
برندا شارتون، رئیس جهانی بخش حریم خصوصی و امنیت در شرکت حقوقی Dechert، معتقد است که در همه‌گیری کووید ۱۹ تعداد و شدت حملات سایبری افزایش یافت و همچنین تعداد و حجم کیف پول‌های رمزنگاری شده گسترش پیدا کرد. او به من گفت که این دو پدیده دست به دست هم می‌دهند.

یکی از انواع خاص فناوری ارز‌های رمزپایه، یک هدف کاملاً تحقق یافته را ثابت کرده است: پل‌های میان زنجیره‌ای (cross-chain bridges).

همکار من استیون زیتچیک توضیح می‌دهد: «پل بلاک چین به مصرف‌کنندگان اجازه می‌دهد تا ارز رمزنگاری شده را از یک بلاک چین به دیگری – مثلاً از بیت‌کوین به اتریوم – مبادله کنند. اما این قابلیت بلاک چین را در مورد آنچه کارشناسان امنیتی «هر دو طرف» می‌نامند، آسیب‌پذیر می‌کند».

همچنین، هفته گذشته شرکت تجزیه و تحلیل بلاک چین Chainalysis تخمین زد که ۶۹ درصد از سرمایه‌هایی که هکر‌ها در سال جاری به سرقت برده‌اند به وسیله‌ی این گونه حملات صورت گرفته است.

پاسخ شماره ۲؛ این یک رفتار گستاخانه و مربوط به بلوغ صنعتی است:

آدام مایر، معاون ارشد اطلاعات در شرکت امنیت سایبری CrowdStrike به من گفت: «فین تک بسیار سریع در حال حرکت است. آن چیزی که در مورد استارت‌آپ‌ها می‌گویند: «به سرعت حرکت کنید و موانع را خراب کنید»، درباره‌ی بسیاری از استارت‌آپ‌ها صدق می‌کند. برخی از چیز‌هایی که در خارج از این امر وجود دارد، واقعاً جدید هستند و بنابراین استارت‌آپ‌ها واقعاً در مورد بردار‌های حمله فکر نکرده‌اند».

سرمایه‌گذاران و بانک‌های مستقر در بخش صنعت مالی استارت‌آپ‌های کریپتو، عمیقاً در امنیت سایبری سرمایه‌گذاری می‌کنند. مدیر اجرایی این شرکت سال گذشته گفت که بانک آمریکا سالانه بیش از یک میلیارد دلار برای دفاع سایبری هزینه می‌کند. اسکات کارلسون، رئیس امنیت دارایی‌های دیجیتال و بلاک چین در شرکت Kudelski Security، به من گفت که در طول صد‌ها سال، بانک‌ها یاد گرفته‌اند که امنیت از همه نوع را در اولویت قرار دهند.

رایان اسپانیر، عضو تیم امنیت کودلسکی، نیز گفت: علاوه بر این، برخی از شرکت‌های امنیت سایبری تمایل ندارند در بخش ارز‌های دیجیتال دخالت کنند. آن‌ها ممکن است شرکت‌های رمزنگاری را یک مد کوتاه مدت در نظر بگیرند که تطبیق دادن آن با شیوه‌های حفاظتی موجود دشوار است. یا فضای رمزارز‌ها را حوزه‌ای از اقتصاد تلقی کنند که برای محیط زیست بد است.

اما این‌ها اخبار ۱۰۰ درصد منفی نیستند. چندین صرافی رمزنگاری که متحمل هک‌های بزرگ شده‌اند، دعوت به مصاحبه را رد کردند یا به درخواست‌ها برای اظهار نظر پاسخ ندادند، اما فهرست‌هایی طولانی از پیشرفت‌های امنیتی که پس از آن انجام داده‌اند، برای من ارسال کردند.

علاوه بر این، برخی از فناوری‌ها برای محافظت از ارز‌های دیجیتال در برابر سرقت، مانند کیف پول‌های سخت‌افزاری، در حال ظهور هستند و برخی از روش‌های قدیمی‌تر امنیت سایبری در جامعه دیده می‌شوند، مانند برنامه‌های پاداش باگ که در آن هکر‌های اخلاق‌مدار به سازمان‌ها کمک می‌کنند تا نقاط ضعف خود را پیدا کنند.

پاسخ شماره ۳؛ کریپتو قانون غرب وحشی است:

شرکت‌های خدمات مالی سنتی و صاحبان آژانس‌های فدرال - خواه کمیسیون بورس و اوراق بهادار (SEC) یا سازمان تنظیم مقررات صنعت مالی (FINRA)) - یکی از دقیق‌ترین بخش‌ها در مورد امنیت سایبری هستند. اما سازمان‌های مربوط به ارز‌های رمزنگاری شده هنوز تحت هیچ گونه نظارتی قرار نمی‌گیرند و برخی معتقدند به همین دلیل هک می‌شوند.

مشاور مستقل جان رید استارک به من گفت: «دلیل اول و مهم‌تر از همه این است که صرافی‌های ارز‌های دیجیتال، بر خلاف شرکت‌های مالی ایالات متحده، مجبور به رعایت استاندارد‌ها و الزامات امنیتی سایبری دقیقی که SEC و FINRA و مقررات بانکی دارند، نیستند؛ بنابراین شما نمی‌دانید که چه نوع حفاظت از امنیت سایبری در این نهاد‌ها انجام می‌شود».

کارلسون نیز گفت، جامعه بلاک چین طبق سرشت خود ترجیح می‌دهد «کمتر تحت قوانین و تنظیمات قرار بگیرد، زیرا آن‌ها می‌خواهند خود را از آنچه به عنوان مشکلات در سیستم موجود می‌پندارند، رها کنند».

این یک موضوع داغ در کاپیتول هیل (ساختمان کنگره‌ی آمریکا) است، جایی که قوانین دو حزبی تعیین می‌کند که چه کسی مسئول نظارت بر صنعت کریپتو است و آژانس‌ها را به این سمت هدایت می‌کند تا قوانین امنیت سایبری را برای دارایی‌های دیجیتال مانند ارز‌های دیجیتال ایجاد کنند. لایحه دو حزبی سناتور کریستن گیلیبراند (D-N.Y.) و سینتیا ام. لومیس (R-Wyo.) به کمیسیون معاملات آتی کالا‌ها برای نظارت بر رمزارز‌ها ارایه شده است. این لایحه رویکردی بر خلاف SEC دارد که موضع سختی علیه سوء استفاده‌های ارز‌های دیجیتال اتخاذ کرده است.

شارتون گفت، اما تمرکز بر مقررات نادرست است. او گفت که دولت می‌تواند با زندانی کردن سارقان ارز‌های دیجیتال به بهترین وجه کمک کند. برای مثال در یک مورد عجیب، یک کارت هدیه ۵۰۰ دلاری والمارت، مجریان قانون را به سمت مجرمان در هک قابل توجهی در سال ۲۰۱۶ هدایت کرد.

فارغ از اینها، مجموعه‌ای از توضیحات احتمالی دیگری نیز وجود دارد:

برای سال‌ها، تحلیلگران در تلاش بوده‌اند تا به آنچه در پشت مارپیچ هک‌های رمزنگاری نهفته است، برسند. با این حال می‌توان لیست زیر را به پاسخ‌های احتمالی افزود:

• این نوع از هک آسانتر از انواع دیگر هک است.
• اهداف مورد حمله دارای کارکنان امنیت سایبری کمتری هستند.
• سرقت رمز‌های عبور و سایر اطلاعات کلیدی در مقیاس وسیع‌تری امکان پذیر است.
• گاهی اوقات دلایل دزدی از موردی به مورد دیگر متفاوت است، مانند مورد پیشنهاد شغلی جعلی.
آنچه مسلم است این است که هک کریپتو هزینه زیادی دارد. تازه در ماه گذشته، طلبکاران صرافی منحل شده ارز‌های دیجیتال Mt. Gox گفتند که بازپرداخت طلب آن‌ها ناشی از یک هک در سال ۲۰۱۴ نزدیک به پایان است.

______________________________
منبع:

washingtonpost.com