هک ۶۰۰ میلیون دلاری درباره بازار رمزارز چه میگوید؟
دان ریان، جوان ۲۰ ساله اهل ویلتشایر انگلستان یکی از زیاندیدگان است. او به بیبیسی گفت: «من ۱۵/ ۰ اتریوم از دست دادم که حدود ۵۰۰ دلار است. اتفاق بدی است اما دوستانی دارم که در شرایط بدتر هستند.» جک کنی یکی از آن دوستان است که میگوید: «من حدود ۱۰ هزار دلار از دست دادم.» این شهروند ۲۳ ساله از ایرلند اضافه میکند: «فکر نمیکنم مردم اهمیت این هک را بدانند. ۶۰۰ میلیون دلار بخش بسیار بزرگی از کل داراییها در این شبکه است.»
در این بازی، گیمرها یا بازیکنان با حیوانات کارتونی که اکسی خوانده میشوند، مبارزه و رمزارز دیجیتال جمع میکنند. این بازی بهشدت در میان میلیونها بازیکن در سراسر جهان پرطرفدار است. افراد به امید برنده شدن و گرفتن رمزارز و جمع کردن انافتی یا توکن غیر قابل تعویض، ساعتها بازی میکنند. مخصوصا در فیلیپین این بازی بسیار اهمیت دارد. در این کشور بازی اکسی اینفینیتی به یک کار تماموقت و بالقوه پردرآمد تبدیل شده است. شبکه رونین که متعلق به یک شرکت ویتنامی به نام اسکای ماویس است، به بازیکنان اجازه میدهد سکههای دیجیتال را که در بازی اکسی اینفینیتی به دست میآورند با سایر رمزارزها مثل اتریوم معاوضه کنند. این شرکت میگوید دو هفته پیش یک هکر معادل ۵۴۰ میلیون دلار رمزارز به خودش منتقل کرده است. اما شرکت، اخیرا و زمانی متوجه این موضوع شد که یکی از مشتریانش نتوانست سرمایهاش را بیرون بکشد. ارزش مقدار رمزارز دزدیده شده از آن زمان بالاتر رفته و به ۶۱۵ میلیون دلار رسیده است. این تازهترین سرقت از مجموعه دزدیهای رمزی در سال گذشته بوده که جمع آنها را به ۲ میلیارد دلار میرساند. پیامدهای این اتفاقات متوالی در زمینه هک، درباره خطرات رمزارزها و سرمایههای غیرمتمرکز به ما چیزهای زیادی میآموزد.
آیا مشتریان پولشان را پس میگیرند؟
شبکه رونین میگوید: «با مقامهای مجری قانون، کارآگاهان رمزنگار و سرمایهگذارانمان مشغول کار هستیم تا اطمینان حاصل کنیم تمام سرمایهها قابل بازیابی و پسدادن است.» این شرکت ابتدا یک بیانیه در حساب ساباستک (پلتفرم خبرنامهای) خود، منتشر کرد و سپس وبسایتش را آفلاین کرد. همچنین در شبکههای اجتماعی امکان نظردادن در زیر یادداشتهای این شرکت برداشته شده است. شرکت بعدا در پاسخ به سوال بیبیسی گفت که متعهد است سرمایه مشتریان را بازگرداند، اما تضمین نمیدهد. دان ریان میگوید: من به بخش خدمات مشتریان زنگ نزدم چون میدانم که بیفایده است. او توضیح میدهد: فقط منتظر میمانم از آنها خبری بشنوم که آیا مشکل حل میشود و چه وقت میتوانم اتریوم خود را بیرون بیاورم. شرکتهای رمزارز مانند شرکتهای معمولی نیستند و مثل آنها کار نمیکنند. شرکت رونین هنوز به مشتریانش نگفته که چه اتفاقی برای سرمایههایشان افتاده و چه زمانی ممکن است پول خود را پس بگیرند. در بیشتر موارد هک رمزارزی، مشتریان به طریقی سرمایه خود را پس گرفتهاند، اما این ممکن است ماهها یا سالها طول بکشد. دیوید کانلیس، کارشناس رمزارز از سایت پروتوس عقیده دارد ارتباط مستقیم با شرکتهای رمزارز بسیار ضعیف است. او میگوید: «وقتی با نهادهایی سر و کار دارید که بیش از نیم میلیارد دلار را مدیریت میکنند، انتظار دارید راههای ارتباطی بازتر و سادهتر باشد؛ مخصوصا وقتی که چنین نقص امنیتیای در زمینه هک اتفاق افتاده باشد.» کانلیس اضافه میکند: «اما از آن سو، یکی از اصول اکوسیستم این است که هر کسی میتواند پروژه خود را راهاندازی کند و نباید مانعی برای این کار وجود داشته باشد.»
چطور اتفاق افتاد؟
شبکه رونین میگوید که هک در نوامبر ۲۰۲۱ و زمانی شروع شد که تعداد کاربران اکسی اینفینیتی به حجمی غیرقابل کنترل رسید.
این شرکت میگوید هجوم بازیکنان باعث فشار بسیار شدید بر سیستم شد و برای جوابگویی به این میزان تقاضا، لایههای امنیتی شلتر شد. به گفته این شرکت فشارها در ماه دسامبر کاهش پیدا کرد، اما محکمکردن لایههای امنیتی به فراموشی سپرده شد و هکرها از باز گذاشتن دروازه پشتی سوءاستفاده کردند. فرانسس کاپولا، نویسنده و اقتصاددان میگوید: «این اتفاقی رایج در شرکتهای رمزارز است. ما شاهد هکها و سوءاستفادههای بسیار بودهایم که اگر بخواهم صریح بگویم، ناشی از بیاحتیاطی و بیتوجهی به امنیت سرمایههای مردم بوده است.» او در ادامه توضیح داد: «شرکتهای رمزنگاری گاهی اوقات آنقدر مشتاق هستند پول بسازند یا صرفا هجوم تقاضاها را جواب دهند که کدهایی با طراحی بد و آزمون نشده را منتشر میکنند، موارد امنیتی را نادیده میگیرند یا بیش از حد به زیرساختها اتکا میکنند.»
بزرگترین هکهای تاریخ رمزارز
بر اساس دادههای شرکت الیپتیک که یک شرکت تحلیل رمزارز است، پنج هک بزرگ بر اساس ارزش دلاری آن در زمان هک به این ترتیب هستند: اول: ۶۱۱ میلیون دلار، پولی نتورک، اوت ۲۰۲۱. دوم: ۵۴۰ میلیون دلار، رونین بریج، مارس ۲۰۲۲. سوم: ۵۳۲ میلیون دلار، کوینچک، ژانویه ۲۰۱۸. چهارم: ۴۷۰ میلیون دلار- امتی گاکس، فوریه ۲۰۱۴. پنجم: ۳۲۵ میلیون دلار- ورمهول، فوریه ۲۰۲۲.
چرا این اتفاق تکرار میشود؟
کارشناسان میگویند کریپتوکارنسی یا رمزارزها مانند میوههای شاخههای پایین درخت برای هکرها در دسترس هستند. تام رابینسون از شرکت تحلیلی الیپتیک میگوید شرکتهای رمزارز برای هکرها هانیپاتهای عظیم هستند. او توضیح میدهد: تراکنشهای رمزی (یا کریپتو) بازگشتناپذیر هستند. بنابراین اگر هکری دستش به آن برسد، بسیار سخت است که کسی بتواند آن را پس بگیرد.
رابینسون میگوید این کار همچنین برای هکرها بسیار جذاب است چون سود زیادی دارد؛ بدون آنکه دردسرهای اضافی جرایم سایبری دیگر مانند باجافزار را داشته باشد که مجرمان در آن مجبور میشوند با شرکتهایی که هک شدهاند، مذاکره کنند. مشخص نیست چه کسی پشت این هک اخیر بوده، اما ممکن است فقط یک مجرم سایبری نباشد که به دنبال پیدا کردن پول برای خودش است. برای مثال، در گذشته شماری از هکرهای مورد حمایت دولتها هم پشت بعضی از سرقتهای رمزارز بودهاند. به گزارش محققان رمزارز شرکت «چینآنالیست»، هکرهای کرهشمالی پارسال در دستکم هفت مورد حمله به پلتفرمهای رمزارزی حدود ۴۰۰میلیون دلار دزدیدهاند.