پنج مورد از بدترین هک‌هایی که جهان کریپتو را به لرزه درآورد!!

همراستا با پیشرفت فناوری و افزایش امنیت، هکرها هم ایده‌های خلاقانه و نوین بیشتری برای نفوذ به سیستم‌های افراد پیدا کرده‌اند و خطر آنها بسیار جدی و نزدیک است. زمانی که شما از شبکه اینترنت استفاده می کنید که توسط میلیاردها نفر مورد استفاده قرار می گیرد، بدون شک در معرض هک خواهید بود. هک به معنی نفوذ بدون اجازه به سیستم افراد دیگر برای دزدیدن داده‌ها و فایل ها و یا تخریب سیستم طرف است. در این فرآیند، هکر مدام به شکافتن رمزها و کدها می پردازد تا سرانجام موفق به نفوذ به سیستم فرد شود.

ارز های دیجیتال با ظهور بیت کوین (bitcoin) در سال ۲۰۰۹ معرفی شدند و بعد از آن پروژه های مختلف ارز دیجیتال در قالب آلتکوین (altcoin) وارد این فضا شدند. ارز های دیجیتال بر روی بلاک چین (blockchain) ایجاد شده اند و وسیله مبادله می باشند. کار با این ارزها به صورت آنلاین انجام می شود و بنابراین این ارزها بسیار مستعد هک هستند و در طول سال های گذشته چندین بار شاهد هک های مختلف در فضای ارز های دیجیتال بوده ایم.

اگرچه هک واژه منفوری است و ما دید خوبی نسبت به آن نداریم اما در واقع این هک ها نمایشگر اوج خلاقیت، عمق دانش و جرات هستند. در این نوشتار به معرفی ۵ مورد از بزرگترین هک های تاریخ کریپتو می پردازیم.

هک نایس هش (NiceHash)، حمله‌ای حرفه‌ای که در آن ۶۴ میلیون دلار دزدیده شد

این بازار استخراج بیت کوین واقع در اسلوونی در سال ۲۰۱۴ راه اندازی شد و به عنوان یک سایت کلود ماینینگ (cloud mining) در نهایت به کار خود ادامه داد و مردم از سراسر جهان از این سایت قدرت استخراج خریداری می کردند. در دسامبر ۲۰۱۷ و زمانی که بیت کوین در اوج قیمت خود بود، تقریبا ۴۷۰۰ بیت کوین از این پلتفرم دزدیده شد. این پلتفرم، هک اتفاق افتاده را بسیار ماهرانه توصیف کرد که در آن از نوعی مهندسی اجتماعی پیچیده استفاده شده است.

این هک به قدری مخرب بود که برای ۲۴ ساعت این پلتفرم را مجبور به تعلیق همه فعالیت های خود جهت انجام بررسی و تحقیق کرد. این پلتفرم حتی به طور رسمی به کاربران اعلام کرد که رمز عبورهای خود را تغییر دهند. نایس هش برای حفظ اعتبار خود شروع به پس دادن بیت کوین های هک شده کرد و این کار را از فوریه ۲۰۱۸ شروع کرد. تا به حال حدود ۸۱ درصد از وجوه دزدیده شده به کاربران پس داده شده است.

هک صرافی بیت پوینت (Bitpoint)، یک حمله کیف پول که در آن ۲۸ میلیون دلار دزدیده شد 

این صرافی در جولای اعلام کرد که حدود ۵۵۰۰۰ کاربر طعمه یک هک ۲۷.۹ میلیون دلاری شده اند. ریاست این صرافی جنکی ادا (Genki Oda) ابراز داشت که ۱۹ میلیون دلار از کریپتوهای دزدیده شده متعلق به کاربران بوده است و ۸.۹ میلیون باقی مانده نیز از متعلقات شرکت بوده است.

در طی هک این صرافی، کیف پول‌های آنلاین مشتریان هدف قرار گرفت و هکر که از نرم افزار این صرافی استفاده می کرد، توانسته بود که مبالغی را نیز از صرافی های آن سوی آب ها بدزدد. تا به حال، وجوه دزدیده شده به کاربران پس داده نشده است و این صرافی در تلاش برای پیدا کردن فرد یا افرادی است که مسئول این حادثه بوده اند.

آژانس خدمات مالی ژاپن (FSA) در ژوئن ۲۰۱۸ این صرافی را وادار به ارتقای سیستمش کرد تا هم از لحاظ امنیتی بهبود پیدا کند و هم با قوانین ضد پول شویی و احراز هویت این سازمان همگام شود. پایگاه کاربری این صرافی در کل ۱۱۰۰۰۰ است و دزدی از نصف کاربران، سوالاتی جدی در رابطه با سطوح امنیتی این صرافی را مطرح کرده است.

از لیست خارج کردن بیت کوین گلد (Bitcoin Gold) توسط بیترکس (Bittrex) و سری حملاتی که منجر به گم شدن ۱۸ میلیون دلار شد

 این صرافی کریپتویی واقع در ایالات متحده در سال ۲۰۱۳ راه اندازی شد و دارای یک تیم ۴۹ نفره می باشد. این صرافی اخیرا بعد از هک پلتفرم خود، اقدام به خارج کردن بیت کوین گلد از لیست کرد. در مجموعه هک هایی که برای این صرافی اتفاق افتاد، بیش از ۱۸ میلیون دلار از وجوه صرافی دزدیده شد. در می ۲۰۱۸، هکر ها کنترل بیش از ۵۱ درصد از قدرت هش (hash power) کلی بیت کوین ‘گلد را در اختیار گرفته بودند.

در این دزدی از روشی بنام خرج کردن دوباره (double-spending) استفاده شد. مقدار دقیق بیت کوین گلد های دزدیده شده از بیترکس ذکر نشد اما بیترکس در غرامت این هک، مقدار ۱۲۰۰۰ بیت کوین گلد را از این پروژه مطالبه می کرد. این هک به اعتبار بیت کوین گلد لطمه زد و قیمت آن را با افت برجسته ای مواجه کرد.

هک سازمانی و حمله بدافزاری به Apple macOS

کره شمالی برای اقدامات شرورانه خود در جهان کریپتو شناخته شده است و تعدادی از هکرها با پشتیبانی کره شمالی و تحت نام Lazarus Group سعی در هک Macs از طریق یک نرم افزار جعلی ارز دیجیتال داشتند. حکومت ایالات متحده و بسیاری از شرکت های امنیت سایبری اعلام کردند که این گروه از حمایت کره شمالی برخوردار است. این گروه با ایجاد یک شرکت جعلی و نوشتن یک کد متن باز (open source) برای یک اپلیکیشن ترید ارز دیجیتال سعی در هک macOS داشت.

در داخل این کد، بدافزاری تعبیه شده بود که در زمان دانلود به کامپیوتر های اپل (Apple) حمله می کرد و به هکر اجازه دسترسی به هر چیزی در سیستم را می داد. بر طبق گزارشی که از جانب سازمان ملل ارائه شد، کره شمالی با هک کردن صرافی ها و بانک های سنتی مختلف تا به حال حدود ۲ میلیارد دلار دزدی کرده است.

محصولات اپل برای امنیت و عملکرد خود مشهور هستند و این شرکت حتی ادعا کرده که محصولات اپل را نمی توان هک یا دستکاری کرد.

هک مشهور صرافی ام تی گوکس (Mt Gox) و دزدیده شدن ۴۶۰ میلیون دلار 

ام تی گوکس در سال ۲۰۱۳ در زمینه ترید بیت کوین پیشگام بود و بیش از ۷۰ درصد از مبادلات بیت کوین جهان در این پلتفرم اتفاق می افتاد. این پلتفرم ابتدا در سال ۲۰۱۱ ضربه خورد و ۸۰۰۰۰ بیت کوین از بنیان گذار این صرافی دزدیده شد که در آن زمان می خواست صرافی را به فرد دیگری بفروشد. مدتی بعد یک هکر توانست به اکانت بنیان گذار این صرافی که هنوز دارای دسترسی ادمین بود نفوذ پیدا کند و به طور مصنوعی قیمت بیت کوین را از ۱۷ دلار به یک سنت برساند و از این طریق بتواند ۲۰۰۰ بیت کوین خریداری کند و آن را از صرافی خارج کند.

حملات به این صرافی در فاصله سال‌های ۲۰۱۱ تا ۲۰۱۴ اتفاق افتاد و در نهایت منجر به خالی شدن کیف پول آفلاین این صرافی شد. در مجموع ۸۵۰۰۰۰ بیت کوین از این صرافی دزدیده شد که ۷۵۰۰۰۰ عدد از این بیت کوین ها متعلق به کاربران بودند. این بزرگترین دزدی است که تا کنون از لحاظ تعداد بیت کوین صورت گرفته است.

ریاست این صرافی در ژاپن محاکمه شد و بعد از شکست مفتضحانه این صرافی، قوانین و مقررات مربوط به ارز دیجیتال در ژاپن تغییر کرد. این صرافی در ۲۰۱۴ مجبور به تشکیل پرونده برای ورشکستگی شد و در نهایت بسته شد. در خلال بررسی های صورت گرفته، ۲۰۰۰۰۰ بیت کوین کشف شد اما این بیت کوین ها هنوز به عنوان غرامت در میان کاربران پخش نشده است. این قضیه بسیار پیچیده است و در چند پاراگراف نمی توان آن را به خوبی شرح داد.

نتیجه گیری

دارایی‌های کریپتویی برای بسیاری از مردم شکل مدرنی از سرمایه گذاری هستند و با سرمایه گذاری های سنتی مانند املاک و طلا تفاوت دارند. با آسان شدن تراکنش‌های آنلاین، ریسک هک شدن توسط هکرها و بدافزارها مطرح است. لازم است از نرم افزار مناسبی استفاده شود که سرویس تایید هویت دو عاملی و یا سرویس‌های دیگری مانند تایید ایمیل و یا پیگیری آدرس آی پی را فراهم می‌کند.