ردیابی رمزارز سرقتشده ساده است اما بازیابی وجوه غیرممکن مینماید
بهشت رمزنگاریشده هکرها
نوع جدید از صرافیهای سرمایهگذاری بر پایه سیستم مالی غیرمتمرکز برای افراد این فرصت را فراهم آورده است که بدون بانک یا کارگزار، وام بگیرند، وام دهند و سایر معاملات را انجام دهند. مبتنی بر چنین استارتآپهایی میتوان در عوض نظام بانکی دولتی، به سیستمی که توسط کد اداره میشود، تکیه کرد. با استفاده از نرمافزارهای مبتنی بر تکنولوژی سیستم مالی غیرمتمرکز، سرمایهگذاران میتوانند بدون افشای هویت خود یا حتی بررسی اعتبار، وام بگیرند. همانطور که بازار این صنعت در سالگذشته رشد یافته است، بخش نوظهور کریپتوکارنسی نیز بهعنوان آینده مالی مورد استقبال قرار گرفته است. این موقعیت به جایگزین مردمپسندی برای والاستریت بدل شد که به معاملهگران آماتور امکان دسترسی به سرمایه بیشتری را میداد. در این بین کاربران کریپتو سرمایهای معادل ۱۰۰میلیارد دلار ارزمجازی را به صدها پروژه سیستم مالی غیرمتمرکز سپردند.
با وجود تمامی فرصتهایی که در این بازار وجود دارد اما برخی از نرمافزارها بر اساس کد معیوب ساختهشدهاند. به گفته شرکت تحقیقاتی حوزه رمزارز، «چینآنالیز» امسال، ۲/ ۲میلیارد دلار ارز دیجیتال از پروژههای سیستم مالی غیرمتمرکز به سرقت رفته است که تصویر کلی صنعت را در بدترین سالزیان به واسطه هک قرار داده است. بسیاری از سرقتها ناشی از نقص در برنامههایی معروف به «قراردادهای هوشمند» است که بر پایه سیستم مالی غیرمتمرکز بنیان گذاشته شدهاند. برنامهها اغلب با عجله ساختهشدهاند و قراردادهای هوشمند از کدهای منبعباز استفاده میکنند که ساختار نرمافزار را برای عموم قابلمشاهده میکنند. به همین صورت هکرها بهجای نفوذ به حسابهای شخصی، توانستهاند حملات خود را به زیرساختهای دیجیتالی برنامههای مختلف سازماندهی کنند. در عمل چنین تفاوتی به سرقت از یک فرد یا خالیکردن کل خزانه بانک میماند. با رخدادن سریالی چنین رخنههایی به کدهای برنامههای مختلف، اعتماد به سیستم مالی غیرمتمرکز را در دورهای تلخ برای صنعت کریپتو متزلزل کرده است. بهار امسال بود که به واسطه سقوطی فاجعهبار، رقمی نزدیک به یک تریلیون دلار از سیستم دزدیده شد و چندین شرکت برجسته را وادار به ورشکستگی کرد. در ماه اوت، سارقان با سوءاستفاده از مشکلی در کدگذاری، ۱۹۰میلیون دلار از شرکتی بهنام Nomad خارج کردند. هفته گذشته، شرکت کریپتو Wintermute اعلام کرد که بخش سیستم مالی غیرمتمرکز آن هکشده که منجر به ضرر ۱۶۰میلیون دلاری شدهاست.
چگونگی ردیابی رمزارزها
ردیابی کریپتوهای سرقتشده نسبتا ساده است. تراکنشها در دفتر کل بلاکچین ثبت میشوند که هرکسی میتواند اطلاعات موجود در آنها را برای یافتن الگوها تجزیه و تحلیل کند اما بازیابی و برگرداندن وجوه از دسترفته بسیار دشوارتر است. این هکها بسیاری از استارتآپهای سیستم مالی غیرمتمرکز را وادار کرده است تا اقدامات پیشگیرانه را بررسی کنند و متخصصانی را برای بررسی میزان آسیبپذیری کدهایشان استخدام کنند. با وجود اینکه انواع دیگر شرکتهای رمزنگاری هزینهها را در طول رکود کاهش دادند، شرکتهای امنیتی و حسابرسی شاهد افزایش چشمگیری در میزان تقاضاهایشان بودهاند.
از ابتدای پیدایش کریپتو، شرکتها برای برقراری امنیت دیجیتال تلاشهای فراوانی کردند. در سال۲۰۱۴، اولین صرافی بزرگ بیتکوین، Mt. Gox، طی حمله مخربی مورد نفوذ قرار گرفت که در نهایت منجر به ورشکستگی شرکت و ازدستدادن میلیاردها دلار ارز دیجیتال شد. در آن زمان، صنعت نسبتا کوچک و بدون پیچیدگی بود. اکنون هکرها میتوانند به اکوسیستم گستردهتری از جمله بازیهای ویدئویی مبتنی بر رمزارز، پروژههای وامدهی غیرمتمرکز و سکههای جدید حمله کنند. سالگذشته یک هکر ۶۰۰میلیون دلار از پلتفرم Poly Network ربود و سپس طی مذاکرهای با مدیران پروژه پول را پس داد.
هکهای صورت گرفته امسال اما صدمات بسیار بیشتری به بار آورده است. در ماه مارس، یک گروه تحتحمایت دولت کرهشمالی ۶۲۰میلیون دلار ارز دیجیتال از شبکه Ronin، سرقت کرد. تقریبا در همان زمان، یک هکر از یک نقص نرمافزاری در پروژه سیستم مالی غیرمتمرکز بهنام Wormhole سوءاستفاده کرد و با ۳۲۰میلیون دلار فرار کرد. هک Wormhole از آسیبپذیریها در عنصر جدیدی از فناوری کریپتو که بهعنوان «پل زنجیرهای متقابل» شناخته میشود، بهرهبرداری کرد. این فناوری به سرمایهگذاران اجازه میدهد بین ارزهای دیجیتالی که بر روی بلاکچینهای جداگانه ساختهشدهاند، جابهجا شوند. برخی از پلتفرمهای سیستم مالی غیرمتمرکز از این پلها بهره میبرند تا به افراد کمک کنند از فرصتهای معاملاتی برای سرمایهگذاری حداکثر استفاده را داشته باشند. برای مثال، معاملهگری که تعداد زیادی اتر را در اختیار دارد، از این امکان بهرهمند است که از یک برنامه کاربردی در بلاکچین ارز دیگری استفاده کند بدون اینکه مجبور باشد اتر را بفروشد و ارز دیگر را بخرد. حجم انبوهی از کریپتو که در این پلهای زنجیرهای متقابل جریان دارد، آنها را به طعمههای ارزشمندی تبدیل میکند. طبق گزارش «چینآنالیز»، طی سالجاری در مجموع ۱۰هک بزرگ روی داده که از طریق پاشنهآشیل پلها بوده است که منجر به ضرر ۳/ ۱میلیارد دلاری شدهاست.
«بیناستاک» هر چند از فناوری پل زنجیرهای ساخته نشده بود اما واجد آسیبپذیریهای مشابه دیگری در کدش بوده است. در اصل «بیناستاک» به مردم این امکان را میدهد که دههامیلیون دلار بهصورت ارزمجازی به یک سیستم نرمافزاری واریز کنند که بهسرعت پرطرفدار شد و به حفظ ارزش استیبلکوینی بهنام bean کمک کرد. در ماه آوریل، هکری یکمیلیارد دلار ارز دیجیتال از پروژه دیگر بر پایه سیستم مالی غیرمتمرکز بهنام Aave قرض کرد. این تراکنش «وامفلش» نامیده میشود؛ فرآیندی سریع که در آن کاربر بدون ارسال وثیقه، وجوه قرض میکند، معامله انجام میدهد و بلافاصله وام را بازپرداخت میکند و سود آن حاصل از یکسری مبادلات تقریبا همزمان است. کدی که در «بیناستاک» طراحی کرده بودند مکانیزمی برای جلوگیری از استفاده شخصی از وامفلش برای تصاحب پلتفرم نداشت، بنابراین هکر از یکمیلیارد دلار برای ادعای مالکیت سهام عظیم در «بیناستاک» استفاده کرد و کنترل کامل نرمافزار را در دست گرفت. سپس هکر تمامی سرمایه موجود در مجموع نزدیک به ۲۰۰میلیون دلار را از سیستم «بیناستاک» ربود. برخی از کاربران مشکوک بودند که «وینتراپ»، بنیانگذار «بیناستاک» و سایر همبنیانگذاران خود در پشتپرده حمله قرار دارند، «rug pull» کلاسیک که در آن تیمی از توسعهدهندگان با سرمایه کاربران فرار میکنند.
در نهایت، وینتراپ و سایر بنیانگذاران تصمیم به ادامه پروژه گرفتند. سرقت را به F.B.I گزارش کردند. در آوریل طی گفتوگویی در دیسکورد برای اولینبار هویت خود را برای کاربران «بیناستاک» فاش کردند. این امر حرکت مخاطرهآمیزی بود: بهطور سنتی افراد فعال در این صنعت همواره بر حفظ گمنامی خود اصرار دارند. آنها البته برای جلباعتماد عمومی کاربران خود این خطر را به جان خریده و اکنون در موقعیتی هستند که دربرابر شکایتهای قانونی از جانب کاربران یا بررسی دستگاههای نظارتی آسیبپذیر شدهاند.
طی چندماه گذشته، «بیناستاک» مشغول راهاندازی مجدد پروژه، استخدام متخصصانی از شرکتهای تجزیه و تحلیل بلاکچین برای کمک به ردیابی رمزارز گمشده، بوده است. هر چند «بیناستاک» سپتامبر گذشته رسما بازگشایی شد اما وجوه دزدیده شده همچنان مفقوداست.
