هک ۶۰۰ میلیون‌‌ دلاری درباره بازار رمزارز چه می‌گوید؟

دان ریان، جوان ۲۰ ساله اهل ویلتشایر انگلستان یکی از زیان‌‌دیدگان است. او به بی‌‌بی‌‌سی گفت: «من ۱۵/ ۰ اتریوم از دست دادم که حدود ۵۰۰ دلار است. اتفاق بدی است اما دوستانی دارم که در شرایط بدتر هستند.» جک کنی یکی از آن دوستان است که می‌گوید: «من حدود ۱۰ هزار دلار از دست دادم.» این شهروند ۲۳ ساله از ایرلند اضافه می‌‌کند: «فکر نمی‌‌کنم مردم اهمیت این هک را بدانند. ۶۰۰ میلیون دلار بخش بسیار بزرگی از کل دارایی‌‌ها در این شبکه است.»

در این بازی، گیمرها یا بازیکنان با حیوانات کارتونی که اکسی خوانده می‌شوند، مبارزه و رمزارز دیجیتال جمع می‌‌کنند. این بازی به‌شدت در میان میلیون‌ها بازیکن در سراسر جهان پرطرفدار است. افراد به امید برنده شدن و گرفتن رمزارز و جمع کردن ان‌‌اف‌‌تی یا توکن غیر قابل تعویض، ساعت‌‌ها بازی می‌‌کنند. مخصوصا در فیلیپین این بازی بسیار اهمیت دارد. در این کشور بازی اکسی اینفینیتی به یک کار تمام‌‌وقت و بالقوه پردرآمد تبدیل شده است. شبکه رونین که متعلق به یک شرکت ویتنامی به نام اسکای ماویس است، به بازیکنان اجازه می‌دهد سکه‌های دیجیتال را که در بازی اکسی اینفینیتی به دست می‌‌آورند با سایر رمزارزها مثل اتریوم معاوضه کنند. این شرکت می‌گوید دو هفته پیش یک هکر معادل ۵۴۰ میلیون دلار رمزارز به خودش منتقل کرده است. اما شرکت، اخیرا و زمانی متوجه این موضوع شد که یکی از مشتریانش نتوانست سرمایه‌‌اش را بیرون بکشد. ارزش مقدار رمزارز دزدیده شده از آن زمان بالاتر رفته و به ۶۱۵ میلیون دلار رسیده است. این تازه‌‌ترین سرقت از مجموعه دزدی‌‌های رمزی در سال گذشته بوده که جمع آنها را به ۲ میلیارد دلار می‌‌رساند. پیامدهای این اتفاقات متوالی در زمینه هک، درباره خطرات رمزارزها و سرمایه‌های غیرمتمرکز به ما چیزهای زیادی می‌‌آموزد.

آیا مشتریان پول‌شان را پس می‌گیرند؟

شبکه رونین می‌گوید: «با مقام‌‌های مجری قانون، کارآگاهان رمزنگار و سرمایه‌‌گذاران‌‌مان مشغول کار هستیم تا اطمینان حاصل کنیم تمام سرمایه‌ها قابل بازیابی و پس‌‌دادن است.» این شرکت ابتدا یک بیانیه در حساب ساب‌‌استک (پلتفرم خبرنامه‌‌ای) خود، منتشر کرد و سپس وب‌‌سایتش را آفلاین کرد. همچنین در شبکه‌های اجتماعی امکان نظردادن در زیر یادداشت‌‌های این شرکت برداشته شده است. شرکت بعدا در پاسخ به سوال بی‌‌بی‌‌سی گفت که متعهد است سرمایه مشتریان را بازگرداند، اما تضمین نمی‌دهد. دان ریان می‌گوید: من به بخش خدمات مشتریان زنگ نزدم چون می‌دانم که بی‌‌فایده است. او توضیح می‌دهد: فقط منتظر می‌‌مانم از آنها خبری بشنوم که آیا مشکل حل می‌شود و چه وقت می‌توانم اتریوم‌‌ خود را بیرون بیاورم. شرکت‌های رمزارز مانند شرکت‌های معمولی نیستند و مثل آنها کار نمی‌‌کنند. شرکت رونین هنوز به مشتریانش نگفته که چه اتفاقی برای سرمایه‌های‌شان افتاده و چه زمانی ممکن است پول خود را پس بگیرند. در بیشتر موارد هک رمزارزی، مشتریان به طریقی سرمایه خود را پس گرفته‌‌اند، اما این ممکن است ماه‌ها یا سال‌ها طول بکشد. دیوید کانلیس، کارشناس رمزارز از سایت پروتوس عقیده دارد ارتباط مستقیم با شرکت‌های رمزارز بسیار ضعیف است. او می‌گوید: «وقتی با نهادهایی سر و کار دارید که بیش از نیم میلیارد دلار را مدیریت می‌‌کنند، انتظار دارید راه‌های ارتباطی بازتر و ساده‌‌تر باشد؛ مخصوصا وقتی که چنین نقص امنیتی‌‌ای در زمینه هک اتفاق افتاده باشد.» کانلیس اضافه می‌‌کند: «اما از آن سو، یکی از اصول اکوسیستم این است که هر کسی می‌تواند پروژه خود را راه‌‌اندازی کند و نباید مانعی برای این کار وجود داشته باشد.»

چطور اتفاق افتاد؟

شبکه رونین می‌گوید که هک در نوامبر ۲۰۲۱ و زمانی شروع شد که تعداد کاربران اکسی اینفینیتی به حجمی غیرقابل کنترل رسید.

این شرکت می‌گوید هجوم بازیکنان باعث فشار بسیار شدید بر سیستم شد و برای جوابگویی به این میزان تقاضا، لایه‌های امنیتی شل‌‌تر شد. به گفته این شرکت فشارها در ماه دسامبر کاهش پیدا کرد، اما محکم‌‌کردن لایه‌های امنیتی به فراموشی سپرده شد و هکرها از باز گذاشتن دروازه پشتی سوءاستفاده کردند. فرانسس کاپولا، نویسنده و اقتصاددان می‌گوید: «این اتفاقی رایج در شرکت‌های رمزارز است. ما شاهد هک‌‌ها و سوءاستفاده‌های بسیار بوده‌‌ایم که اگر بخواهم صریح بگویم، ناشی از بی‌‌احتیاطی و بی‌‌توجهی به امنیت سرمایه‌های مردم بوده است.» او در ادامه توضیح داد: «شرکت‌های رمزنگاری گاهی اوقات آن‌قدر مشتاق هستند پول بسازند یا صرفا هجوم تقاضاها را جواب دهند که کدهایی با طراحی بد و آزمون نشده را منتشر می‌‌کنند، موارد امنیتی را نادیده می‌گیرند یا بیش از حد به زیرساخت‌‌ها اتکا می‌‌کنند.»

بزرگ‌ترین هک‌‌های تاریخ رمزارز

بر اساس داده‌های شرکت الیپتیک که یک شرکت تحلیل رمزارز است، پنج هک بزرگ بر اساس ارزش دلاری آن در زمان هک به این ترتیب هستند: اول: ۶۱۱ میلیون دلار، پولی نتورک، اوت ۲۰۲۱. دوم: ۵۴۰ میلیون دلار، رونین بریج، مارس ۲۰۲۲. سوم: ۵۳۲ میلیون دلار، کوین‌‌چک، ژانویه ۲۰۱۸. چهارم: ۴۷۰ میلیون دلار- ام‌‌تی گاکس، فوریه ۲۰۱۴. پنجم: ۳۲۵ میلیون دلار- ورم‌‌هول، فوریه ۲۰۲۲.

چرا این اتفاق تکرار می‌شود؟

کارشناسان می‌گویند کریپتوکارنسی یا رمزارزها مانند میوه‌های شاخه‌های پایین درخت برای هکرها در دسترس هستند. تام رابینسون از شرکت تحلیلی الیپتیک می‌گوید شرکت‌های رمزارز برای هکرها هانی‌‌پات‌‌های عظیم هستند. او توضیح می‌دهد: تراکنش‌‌های رمزی (یا کریپتو) بازگشت‌‌ناپذیر هستند. بنابراین اگر هکری دستش به آن برسد، بسیار سخت است که کسی بتواند آن را پس بگیرد.

رابینسون می‌گوید این کار همچنین برای هکرها بسیار جذاب است چون سود زیادی دارد؛ بدون آنکه دردسرهای اضافی جرایم سایبری دیگر مانند باج‌‌افزار را داشته باشد که مجرمان در آن مجبور می‌شوند با شرکت‌هایی که هک شده‌‌اند، مذاکره کنند. مشخص نیست چه کسی پشت این هک اخیر بوده، اما ممکن است فقط یک مجرم سایبری نباشد که به دنبال پیدا کردن پول برای خودش است. برای مثال، در گذشته شماری از هکر‌‌های مورد حمایت دولت‌ها هم پشت بعضی از سرقت‌‌های رمزارز بوده‌‌اند. به گزارش محققان رمزارز شرکت «چین‌آنالیست»، هکرهای کره‌شمالی پارسال در دست‌‌کم هفت مورد حمله به پلتفرم‌‌های رمزارزی حدود ۴۰۰میلیون دلار دزدیده‌‌اند.