گزارش سرتیک: مرور بزرگترین هک‌ها، باگ‌های امنیتی و قانون‌گذاری‌ها در سه ماهه دوم ۲۰۲۳

هک در فضای وب ۳ یکی از رایج‌ترین اتفاقات است و در چند سال اخیر چندین میلیارد دلار دارایی سرمایه‌گذاران کریپتویی طی وقایع بزرگ و کوچک به سرقت رفته است. سال ۲۰۲۳ نیز تا به اینجا از این قاعده مستثنی نبوده و امسال هم شاهد هک‌های گسترده‌ای در بازار رمز‌ارزها بوده‌ایم؛ اگر چه گزارش سرتیک از سه‌ماهه دوم سال ۲۰۲۳ نشان می‌دهد که میزان هک‌ها در مقایسه با سه‌ماهه دوم سال ۲۰۲۲ کاهش چشمگیری داشته است. در این گزارش به بررسی هک‌های اتفاق افتاده، باگ‌های کشف شده در بلاکچین Sui، درخواست ETF شرکت بلک راک و شکایت SEC از بایننس و کوین بیس می‌پردازیم، پس در ادامه با میهن بلاکچین همراه باشید که با هم به بررسی جزییات بیشتر این موارد بپردازیم.

نکات کلیدی ✍🏼 در سه‌ماهه دوم سال ۲۰۲۳ بیش از ۲۱۲ مورد هک شناسایی شد که ۳۱۳ میلیون دارایی در مجموع به سرقت رفته است. ✍🏼 حمله به ربات MEV توسط یک ولیدیتور مخرب، منجر به از دست رفتن ۲۵ میلیون از دارایی کاربران شد. ✍🏼 هک کیف پول اتمیک منجر به از دست رفتن ۱۰۰ میلیون از دارایی کاربران شد. ✍🏼 باگ امنیتی بزرگ در شبکه Sui قبل از راه‌اندازی شبکه اصلی توسط سرتیک کشف و برطرف شد. ✍🏼 نقص امنیتی در سطح API کیف پول Zengo مبتنی بر MPC توسط سرتیک کشف شد و تیم Zengo به‌سرعت آن را حل کرد. ✍🏼 درخواست ETF بلک راک به قانون‌گذاران ارائه شد که تایید آن در ماه‌های پیش رو خبر بزرگی خواهد بود. ✍🏼 بایننس و کوین‌بیس مورد شکایت SEC قرار گرفتند و البته که این شکایت توسط قاضی رد شد.

میزان دارایی هک شده در فصل دوم سال ۲۰۲۳

همانطور که گفتیم هک در فضای وب ۳ در چند سال اخیر روایت غالبی بوده است و هکرها با سوءاستفاده از باگ‌های امنیتی در پروتکل‌ها، کیف‌پول‌ها و غیره اقدام به سودجویی از فرصت‌ها کرده‌اند. طی همین روال در سه‌ماهه دوم سال ۲۰۲۳ هکرها موفق شدند بیش از ۳۱۳ میلیون دلار دارایی را از پروتکل‌های وب ۳ به سرقت ببرند.‍ این رقم نزدیک به ۳۲۰ میلیون دلاری است که در سه‌ماهه اول سال ۲۰۲۳ به سرقت رفت. آمار هک‌ها در این بازه زمانی در مقایسه با ۷۴۵ میلیون دلار سال گذشته، ۵۸ درصد کاهش داشته است.

با توجه به شناسایی ۲۱۲ مورد هک در سه‌ماهه دوم سال ۲۰۲۳ توسط سرتیک، متوسط خسارت وارد شده به هر قربانی برابر با ۱,۴۷۹,۰۸۷ دلار بوده است که کاهش نسبتا کمی در مقایسه با عدد ۱,۵۶۲,۵۹۵ دلار در سه‌ماهه اول سال ۲۰۲۳ داشته است.

هکرها از ۹۸ مورد هک‌های سه‌ماهه دوم سال ۲۰۲۳ حدود ۷۰ میلیون دلار را از بازار خارج کرده‌اند؛ این عدد بیشتر از ۲ برابر مقدار خارج شده از بازار نسبت به سه‌ماهه اول سال ۲۰۲۳ بوده است.

حمله اکسپلویت به ربات‌ MEV توسط یک ولیدیتور مخرب

اوایل ماه آوریل یک ولیدیتور مخرب با حمله اکسپلویت توانست چندین ربات MEV را در اختیار کامل بگیرد و طی این حمله نزدیک به ۲۵ میلیون دلار از پنج ربات MEV به سرقت رفت. طی ۱۲ ماه گذشته، تنها شش حمله به ربات‌های MEV شناسایی شده‌اند و این هک به‌تنهایی ۹۲ درصد از کل ضرر ۲۷,۵ میلیون دلاری را شامل می‌شود. می‌توان گفت این حمله یکی از بزرگترین حوادثی است که سرتیک از حملات به ربات MEV تاکنون شناسایی کرده است.

این حمله ساندویچی به MEV bot اتریوم، بزرگترین حمله به ربات‌های معاملاتی اتوماتیک تاکنون بوده است. MEV به‌معنای «ارزش قابل استخراج‌ ماینر» است و به سودی گفته می‌شود که یک ماینر یا ولیدیتور در یک سیستم PoS می‌تواند با استفاده از قدرت خود برای ترتیب دادن تراکنش‌ها در بلاک‌ها کسب کند. هکر می‌تواند از این قابلیت استفاده کند که تراکنش‌هایی را که کاربران به ممپول ارسال می‌کنند، پیش از آنها انجام دهد. هدف ربات MEV در این استراتژی، ساندویچ کردن سفارش خرید کاربر هدف بین دو تراکنش فرانت رانینگ (Front Running) و بک رانینگ (Back Running) است که این روند منجر به سود ربات MEV می‌شود.

این اتفاق در بلاک ۱۶,۹۶۴,۶۶۴ اتریوم رخ داد که در آن هشت تراکنش ربات MEV قربانی حمله اکسپلویت ولیدیتور مخرب شدند. این ولیدیتور در تاریخ ۱۵ مارس ۲۰۲۳ (۲۴ اسفند ۱۴۰۱) توسط حساب تحت مالکیت خارجی (EOA) به سرآدرس (0x687A9) کار خود را آغاز و موفق شد به Flashbot نفوذ کند که برای جلوگیری از پیش‌بردن تراکنش‌های فرانت رانینگ طراحی شده است.

دلیل اصلی این اتفاق وجود یک آسیب‌پذیری در MEV-boost-relay بود که به این ولیدیتور اجازه داد تراکنش‌ها را دستکاری کند. این ولیدیتور مخرب با استفاده از اطلاعاتی که طی این رخداد به‌دست می‌آورد، آن‌ها را مجددا و به‌ترتیب دلخواه چید. این کار بخشی از استراتژی ساندویچ‌ کردن ربات MEV یا همان بک رانینگ است. سوء‌استفاده از این آسیب‌پذیری توسط ولیدیتور مخرب با ارسال اطلاعات نادرست به لایه اجماع و استخراج اطلاعات تراکنش از بلاک مورد نظر رخ می‌دهد. به این ترتیب ولیدیتور تراکنش را با اطلاعات مشابه دوباره ارسال می‌کند و به هدف مورد انتظار خود یعنی فرانت رانینگ ربات MEV برسد. این آسیب‌پذیری بعد از این اتفاق رفع شده است و می‌توان گفت ربات MEV را از این نوع حملات محافظت خواهد کرد.

کیف پول اتمیک و هک ۱۰۰ میلیون دلاری

در بزرگترین حادثه امنیتی این فصل که یادآور اتفاق Slope Wallet سال گذشته است، بیش از ۵۰۰۰ کاربر Atomic Wallet در اوایل ژوئن در مجموع بیش از ۱۰۰ میلیون دلار از دست دادند. نقطه آسیب‌پذیری هک کیف پول اتمیک هنوز مشخص نیست. ابتدا کیف پول اتمیک اعلام کرد که کمتر از یک درصد از کاربران فعال ماهانه در این اتفاق ضرر دیده‌اند؛ عددی که بعدا به کمتر از ۰.۱ درصد کاسته شد. مقیاس این هک و خسارات ناشی از آن، اهمیت توسعه و بهبود سریع‌تر امنیت کیف پول‌ها را نشان ‌می‌دهد.

طی این اتفاق هکرها به کلید خصوصی کاربران هدف دست پیدا کردند و کنترل کامل دارایی‌های آنان را به‌دست آوردند و به این ترتیب دارایی کیف پول کاربران را خالی کردند. خسارات گزارش‌شده توسط کاربران نشان ‌می‌دهد که میزان دارایی از‌ دست‌رفته هر کاربر متفاوت بوده و بزرگ‌ترین ضرر یک کاربر برابر با ۷.۹۵ میلیون دلار بوده است. مجموع خسارت‌های پنج قربانی اول از لحاظ حجم دارایی به ۱۷ میلیون دلار می‌رسد.

هک کیف پول اتمیک با اطمینان بالایی به تیم Lazarus نسبت داده شده است. شواهدی که این وابستگی را تایید می‌کند، شامل فرایند تکراری پولشویی برای پنهان کردن مبدا دارایی‌های دزدیده شده است، مانند استفاده از میکسر Sinbad و صرافی روسیه‌ای گارانتکس که قبلا در موارد مشابهی از جمله هک پل‌‌های هارمونی و هک پل رونین نیز رخ داده است.

کیف پول اتمیک برای جبران خسارات کاربران به هکرها پیشنهاد داد، در صورتی که ۹۰ درصد از دارایی‌ها را بازگردانند، ۱۰ درصد از دارایی‌ها را به هکرها به‌عنوان پاداش پرداخت کند؛ اگرچه با توجه به تاریخچه گروه Lazarus و آغاز روند پولشویی، احتمال بازگرداندن دارایی‌ کاربران بسیار کم خواهد بود.

کشف باگ امنیتی بزرگ در بلاکچین Sui

تیم اسکای‌فال (Skyfall) شرکت سرتیک مجموعه‌ای از آسیب‌پذیری‌ها را در بلاکچین Sui پیش از راه‌اندازی شبکه اصلی آن شناسایی کرد. مهم‌ترین باگ کشف شده، نوع جدیدی از باگ بود که در صورت سوءاستفاده هکرها از آن منجر به توقف کامل شبکه و فلج شدن آن می‌شد. این آسیب‌پذیری در واقع در عدم سازگاری در IDLeak verifier شبکه Sui ریشه داشته است که سیستم منحصر‌به‌فرد بلاکچین Sui برای تایید شناسه‌های تراکنش یا همان ID تراکنش‌ها است. این باگ به هکر این امکان را می‌دهد که با ایجاد یک لوپ بی‌نهایت توسط یک قرارداد هوشمند مخرب، نودهای شبکه‌ سوی را در لوپی بی‌نهایت قرار دهد و باعث از‌ کار‌ افتادن کامل شبکه شود. حمله چرخ همستر (HamsterWheel) به شبکه Sui برخلاف سایر حملات سنتی، شبکه‌های بلاکچینی را با از بین بردن نودها فلج نمی‌کند، بلکه تمامی نودها را بدون پردازش تراکنش‌های جدید در حالت اجرا نگه‌ می‌دارد، گویی یک همستر روی یک چرخ در حال دویدن است و به جایی نمی‌رسد. این می‌توانست به شبکه‌ آسیب جدی وارد کند و فعالیت آن را مختل نماید. تیم اسکای‌فال سرتیک این باگ امنیتی را طی برنامه باگ بانتی برگزار شده Sui به آن‌ها گزارش کرد. این باگ مهم توسط تیم فنی Sui به‌ سرعت برطرف شد تا قبل از شروع به کار شبکه اصلی این بلاکچین نوپا با مشکل جدی روبه‌رو نباشد. بلاکچین Sui به‌عنوان تقدیر از گزارش این باگ، جایزه‌ای به ارزش ۵۰۰,۰۰۰ دلار به تیم اسکای فال شرکت سرتیک اهدا کرد. 

باگ امنیتی کیف پول‌های MPC

تیم اسکای فال سرتیک به‌عنوان بخشی از تیم تجزیه و تحلیل امنیتی کیف پول ZenGo (کیف پولی مبتنی بر MPC) یک آسیب‌پذیری جدی در طراحی امنیتی این کیف پول کشف کرده که آن را «Device Fork Attack» نامیده‌ است. این باگ به هکرها اجازه می‌دهد که کنترل کیف پول کاربر را به‌‌دست آورند. هکر با بهره‌گیری از ضعف موجود در API این کیف‌ پول اقدام به تولید کلید جدید می‌کند و سرور ZenGo را طوری فریب می‌دهد که انگار این کلید جدید، کلید دسترسی به همان کیف پول معتبر است و به این ترتیب دسترسی کامل به دارایی موجود در کیف پول کاربران خواهد داشت. با رعایت اصل افشای مسئولانه، تیم اسکای فال به‌سرعت آسیب‌پذیری را به شرکت ZenGo گزارش کرد. تیم امنیتی ZenGo نیز با تشخیص اهمیت موضوع، به‌سرعت برای رفع مشکل اقدامات لازم را به‌عمل آورد. این مشکل در سطح API سرور کیف پول حل شد و امکان وقوع دوباره چنین حمله‌ای از بین رفت.

جزییات این هک به چه صورت است؟

حمله تفکیک دستگاه (Device Fork Attack) از یک ضعف در طراحی امنیتی کیف پول ZenGo بهره‌ می‌برد. سه کلید استفاده شده در طراحی امنیتی کیف پول و سمت کاربر، یعنی کلید اصلی دوم (Master Key 2)، کلید دستگاه (Device Key) و کلید رمزنگاری (Encryption Key) بایستی به‌‌طور کاملا امن توسط پروتکل امنیتی محافظت شوند، در حالی که کلید اصلی دوم به‌واسطه سهل‌انگاری در شیوه ذخیره داده‌ها برای هکرها به‌سادگی قابل دسترس بود. اطلاعات کامل این کلیدها در این فرم‌های ساده به منظور دسترسی راحت پروتکل و انجام فرآیند امضای دوطرفه بین کاربر و پروتکل ذخیره شده بود، اما کلیدهای کاربران باید در محیط اجرای قابل اعتماد (Trusted Execution Environment) ذخیره شود و با تدابیر امنیتی دقیق برای هکرها به‌سادگی در دسترس نباشد. با این حال، ضعفی که در API به آن اشاره کردیم به مهاجمان اجازه می‌داد که در زمان ثبت نام کلید دستگاه، یک جفت کلید جدید را تولید یا فورک کرده و از آن‌ به‌عنوان کلید دستگاه جدید کاربر استفاده کنند.

حمله تفکیک دستگاه از این آسیب‌پذیری استفاده می‌کند و به‌نوعی با تقلید از روش ثبت نام معتبر، کلید دستگاه را با تولید کلیدهای جدید به‌دست می‌آورد. به این ترتیب هکرها می‌توانند از این کلیدها برای تعامل با سرور ZenGo، ایجاد تراکنش‌ و به طور کلی کنترل سرمایه کاربران استفاده کنند. این اتفاق برای کاربران کیف پول قابل تشخیص نیست و تا خالی شدن کیف پولشان تنها چند ثانیه فاصله دارند.

محاسبات چند جانبه امیدبخش است و کاربردهای مهمی در وب ۳ دارد. اگرچه فناوری MPC ریسک‌های مربوط به نقطه تکی شکست (Single Point of Failure) یا همان متکی به یک کلید خصوصی بودن را کاهش می‌دهد، در عین حال می‌تواند پیچیدگی جدیدی را به طراحی کیف پول‌‌ها اضافه کند. این پیچیدگی‌ها منجر به بروز ریسک‌های امنیتی جدید می‌شود که بازبینی کد کیف‌پول‌ها و نظارت بیشتر را ضروری می‌سازد.

کانگ لی، مدیر امنیتی ارشد

درخواست ETF بلک راک

بلک‌راک، بزرگترین شرکت مدیریت دارایی جهان در یک گام قابل توجه که نشان‌دهنده پذیرش نهادی دارایی‌های دیجیتال است، درخواستی برای صندوق قابل معامله بیت کوین (ETF) به کمیسیون بورس و اوراق بهادار آمریکا (SEC) ارائه کرد. این شرکت صندوق کوین بیس کاستدی (Coinbase Custody) را به‌عنوان میزبان این معاملات انتخاب کرده است. در حالی که چند سالی است ایالات متحده آمریکا و کمیسیون بورس و اوراق بهادار با کریپتو مشکلات جدی داشته‌اند، این اتفاق نشان‌دهنده پیشرفت قابل توجهی در بازار رمزارز‌ها است. با این حال، چالش‌های نظارتی همچنان وجود دارد و هنوز هیچ درخواستی برای صندوق مبادلات بیت کوین در بازار تایید نشده است. در واقع، درخواست‌هایی از شرکت‌های مختلف از جمله Grayscale، Fidelity، CBOE Global Markets و NYDIG قبلا توسط SEC رد شده است. 

در حالی که صنعت رمزارز در حال توسعه و رشد است، اقدامات سازمان‌های نظارتی مانند SEC در شکل‌دهی به آینده بازار نقش بسیار مهمی ایفا خواهند کرد. با وجود این موانع، امیدواری در میان سرمایه‌گذاران و شرکت‌های فعال بازار کریپتو همچنان بالاست. انعطاف‌پذیری بازار رمز‌ارز‌ها در میان عدم اطمینان از مسائل نظارتی، همچنان سرمایه‌گذاران نهادی بزرگ را به خود جلب می‌کند. روند پیشرفت صندوق بیت کوین بلک‌راک در ماه‌های آینده یکی از مسائلی خواهد بود که تمامی فعالان بازار نظاره‌گر آن خواهند بود.

شکایت SEC از بایننس و کوین بیس

نهاد SEC به دو صرافی کوین‌بیس و بایننس اتهاماتی از جمله فعالیت به‌عنوان صرافی‌ اوراق بهادار ثبت‌نشده، کارگزاری و نظام پولشویی وارد کرد. مهم‌ترین اتهامات وارد شده به این دو صرافی ارائه برخی از دارایی‌ها مانند سولانا، کاردانو و پالیگان و غیره به سرمایه‌گذاران آمریکایی است که SEC این دارایی‌ها را به‌عنوان اوراق بهادار می‌شناسد. این اتهامات نشان‌دهنده توجه بیشتر SEC به نهادهای بزرگ‌ کریپتویی مانند صرافی‌ها به منظور ایجاد مقررات در این صنعت است. گری گنسلر رئیس SEC این بخش‌ها را «غرب وحشی» صنعت رمز‌ارزها خوانده است. کوین‌بیس در دفاع از خود مقابل این اتهامات اعلام می‌کند که SEC اختیار قانونی لازم برای نظارت بر این فضا را ندارد؛ زیرا بسیاری از دارایی‌های دیجیتال به‌عنوان اوراق بهادار شناخته نمی‌شوند و SEC دستورالعمل‌های واضحی برای تفکیک و شفاف‌سازی در این مورد ارائه نداده است. علاوه بر این، کوین‌بیس به‌عنوان یک شرکت سهامی عام، بایستی قبل از ثبت در نزدک و ارائه سهام خود در آن، اطلاعات کسب‌و‌کار و اطلاعات مالی خود را توسط SEC مورد بررسی و تایید قرار دهد. بنابراین اگر ایرادی بر مسائل مطرح شده وجود داشته باشد، بایستی قبل از ارائه شرکت به‌عنوان سهامی عام نیز مورد پیگرد SEC قرار بگیرد.

حمایت آمریکا از بازار رمز‌ارزها

آینده صنعت مالی با تکامل و رشد صنعت رمز‌ارزها گره خورده است. به‌نوعی همین نگاه دلیل حمایت از رشد اکوسیستم رمز‌ارزها در آمریکا توسط سرمایه‌گذاران و شرکت‌های فعال در این صنعت است. بازارهای نوظهور در سراسر جهان حاضر هستند بدون اعمال قوانین جداگانه، به صرافی‌ها اجازه فعالیت به‌عنوان کارگزاری و ماشین‌های پولشویی را بدهند. چین که قبلا تحریم‌های سختی علیه رمز‌ارزها داشت، نشانه‌هایی از تغییر در نگرش نسبت به این صنعت را نشان می‌دهد و هنگ‌کنگ را به‌عنوان مرکزی برای گسترش کسب‌وکارهای کریپتویی و استفاده از فناوری بلاکچین ترویج می‌دهد. آمریکا نیز در کنار توجه به قانون‌گذاری سریع و دقیق این صنعت، از کسب‌وکارهای کریپتویی مقیم در خاک خودش نیز حمایت جدی می‌کند.

سوالات متداول (FAQ)

جمع‌بندی

در فصل دوم از سال ۲۰۲۳ شاهد فراز و نشیب‌های فراوانی بودیم و می‌توان هک‌های بزرگ مانند هک کیف پول اتمیک، شکایت SEC علیه دو صرافی بزرگ بایننس و کوین بیس و درخواست بلک راک برای راه‌اندازی ETF بیتکوین را مهم‌ترین اتفاقات این فصل دانست. شفافیت مبحث قانون‌گذاری بازار رمز‌‌ارز‌ها در آمریکا از مهم‎‌ترین معادلات مجهول مانده چند ماه پیش رو است. مثبت بودن نظر قانون‌گذاران این کشور و اجازه فعالیت قانونی شرکت‌های سرمایه‌گذاری در کریپتو منجر به تسلط بیش‌تر آمریکا بر بازار رمز‌ارزها در سراسر جهان خواهد شد و در صورت عدم پذیرش و قانون‌گذاری به نفع رشد صنعت رمز‌ارزها در آمریکا، احتمالا نتیجه باختن قافله به چین خواهد بود.
نظر شما در مورد این گزارش چیست؟ آیا هک‌های بزرگ در بازار رمز‌ارز‌ها کمتر خواهد شد؟ وضعیت قانون‌گذاری رمز‌ارزها در آمریکا به کجا خواهد رسید؟ نظرتان را در کامنت‌ها برای ما بنویسید.