ریسک‌های دنیای کریپتو؛ تفاوت هک، اسکم، حمله و اکسپلویت چیست؟

بازار ارزهای دیجیتال هر روز بزرگ‌‌تر و استقبال کاربران هم بیشتر می‌شود؛ اما نکته پنهان ماجرا این است که ریسک‌های دنیای کریپتو هم بیشتر می‌شوند. هک، اسکم، حمله و اکسپلویت به اتفاقات رایج این اکوسیستم تبدیل شده‌اند و خسارات مالی سنگینی را به کاربران و موسسات کریپتویی وارد می‌کنند. فرقی نمی‌کند که مبتدی هستید یا یک معامله‌گر با تجربه؛ آگاهی بیشتر در مورد ریسک‌هایی که کاربران کریپتو را تهدید می‌کند، چراغ راه شما در این مسیر پرفراز و نشیب است. در این مطلب از میهن بلاکچین ضمن توضیح مفهوم، تفاوت هک، اسکم، حمله و اکسپلویت را بررسی می‌کنیم.

نکات کلیدی هک ارزهای دیجیتال به معنای نفوذ به یک سیستم یا شبکه است. هکرها پس از ورود می‌توانند داده‌ها یا دارایی‌های دیجیتال را سرقت کنند یا به سیستم آسیب بزنند. اسکم ارزهای دیجیتال به معنای فریب افراد و دریافت مستقیم داده‌های حساس، کلیدهای خصوصی کیف پول یا حتی دارایی‌های دیجیتال آن‌هاست. اسکمرها برای این کار از ایمیل‌های فیشینگ یا راگ‌پول استفاده می‌کنند. حمله در دنیای ارزهای دیجیتال حوزه وسیعی دارد و هر گونه اقدام با هدف ایجاد اخلال یا آسیب به شبکه را حمله قلمداد می‌کنند. منظور از اکسپلویت سوء‌استفاده از آسیب‌پذیری‌ نرم‌افزارهای کریپتویی برای دسترسی و تخلیه دارایی‌های دیجیتال است.

مهم‌ترین ریسک‌های دنیای کریپتو چیست؟

هر جا پای پول در میان باشد، کلاهبرداران برای رسیدن به اهداف شوم خود همه راه‌ها را امتحان می‌کنند. بازار کریپتوکارنسی‌ها هم از این قائله مستثنی نیست و مجرمان سایبری برای سرقت ارزهای دیجیتال به طرق مختلف در کمین نشسته‌اند. هک، اسکم، حمله و اکسپلویت مهم‌ترین تهدیدات دنیای کریپتو هستند که در ادامه هر یک از آن‌ها را بررسی می‌کنیم.

هک در کریپتو چیست؟

هک (Hacks) یک اتفاق ناخوشایند و متاسفانه رایج در بازار ارزهای دیجیتال است که از زمان ظهور رمزارزها به کرات شاهد آن بوده‌ایم. اگر نگاهی به هک‌های تاریخ کریپتو بیندازید، متوجه وخامت اوضاع می‌شوید. هک به معنای دسترسی غیرمجاز و سرقت دارایی‌های دیجیتال یا اطلاعات کاربران از کیف پول‌ها و صرافی‌های ارز دیجیتال است. این اتفاق به دلایل مختلفی مانند آسیب‌پذیری در سیستم‌های امنیتی، تکنیک‌های مهندسی اجتماعی یا حتی سرقت‌های داخلی رخ می‌دهد.

عواقب چنین هک‌هایی هم برای صرافی‌ها و کیف پول‌ها و هم برای کاربران آن‌ها فاجعه‌بار است. در اکثر موارد بازگرداندن دارایی‌های مسروقه دشوار و حتی غیرممکن است. به‌علاوه اعتبار صرافی و کیف‌ پول هم به‌طور جبران‌ناپذیری خدشه‌دار می‌شود. یک نمونه بارز از هک‌های دنیای کریپتو هک‌شدن صرافی ژاپنی مت‌گاکس (Mt. Gox) در سال ۲۰۱۴ (۱۳۹۲) است که ۸۵۰٬۰۰۰ بیت کوین (به ارزش ۴۵۰ میلیون دلار با قیمت آن زمان) سرقت شد. به دنبال این اتفاق صرافی Mt. Gox اعلام ورشکستگی کرد و ضربه سنگینی به اعتماد کاربران نسبت به ارزهای دیجیتال وارد شد. بعد از یک دهه، هنوز پرونده طلبکاران Mt. Gox باز است و به نظر می‌رسد که بازار خونین روزهای اخیر نیز به علت بازپرداخت بدهی‌های صرافی مت گاکس بوده است.

روش‌های در امان ماندن از هک‌ها

در وهله اول این صرافی‌ها و کیف پول‌های ارز دیجیتال هستند که باید اقدامات احتیاطی را انجام دهند. آن‌ها برای حفظ دارایی‌ کاربر در برابر هکرها باید از پروتکل‌های امنیتی قوی مانند احراز هویت دومرحله‌ای (2FA) و ذخیره‌سازی سرد استفاده کنند. ارزیابی‌های امنیتی (Audit) دوره‌ای هم یک راهکار خوب برای شناسایی آسیب‌پذیری‌ پروتکل‌ها است.

نکته دومی که کاربران ارزهای دیجیتال باید آویزه گوش خود کنند، این عبارت است: «Not your keys, Not your crypto»، یعنی اگر کلیدهای خصوصی در اختیار شما نباشد، عملا مالک دارایی‌هایتان نیستید. شما به عنوان یک کاربر در برابر جلوگیری از هک‌ مسئولیت مهمی دارید و می‌توانید با ایمن نگه‌داشتن کلیدهای خصوصی، انتخاب رمز عبور دشوار و نگهداری دارایی در چند صرافی و کیف پول مختلف مانع اجرای نقشه شوم هکر شوید.

نهادهای نظارتی نیز نقش مهمی در جلوگیری از هک‌های فضای کریپتو دارند. این نهادها می‌توانند از طریق قانون‌گذاری و اعمال استانداردهای امنیتی، صرافی‌ها و کیف پول‌ها را به تامین امنیت دارایی‌های کاربران متعهد کنند.

هک‌های اخیر ارزهای دیجیتال

یک نمونه از هک‌های دنیای کریپتو، صرافی غیرمتمرکز لول فایننس (Level Finance) است. این صرافی به دلیل وجود باگی در قرارداد هوشمند هک شد و دارایی‌های دیجیتال آن به ارزش ۱ میلیون دلار به سرقت رفت. هکری که متوجه باگ شده بود، از این آسیب‌پذیری برای تخلیه وجوه از پلتفرم استفاده کرد. لول فایننس ضمن تایید این موضوع به کاربران خود اطمینان داد که با بررسی همه زوایا و شناسایی علت، از تکرار آن در آینده جلوگیری می‌کند.

صرافی غیرمتمرکز هاندرد فایننس (Hundred Finance) که بر بستر شبکه لایه ۲ آپتیمیزم (Optimism) قراردارد نیز به دلیل یک نقض امنیتی هک شد. در این ماجرا، هکر با دستکاری نرخ مبادله توکن‌های ERC-20 و hTokenها موفق شد در ازای واریز مقدار اندکی وجه، حجم زیادی توکن را برداشت کند. ارزش دلاری توکن‌های سرقت شده توسط این هکر بیش از ۷ میلیون دلار بوده است. هاندرد فایننس ضمن تایید نقض امنیتی اعلام کرد که برای رفع این چالش و بازیابی وجوه سرقت‌شده با تیم آپتیمیزم همکاری خواهد کرد.

این دو اتفاق مشتی از یک خروار هستند که نشان می‌دهند ریسک‌های مرتبط با اکوسیستم دیفای در حال گسترش است. از این رو حفظ امنیت دارایی‌های دیجیتال کاربران، اقدامات امنیتی دقیق و قوی‌تری را می‌طلبد.

اسکم ارزهای دیجیتال چیست؟

در دنیای کریپتو ارتباط اشخاص با یکدیگر به‌صورت ناشناس شکل می‌گیرد و همین موضوع بازار اسکم (Scam) یا کلاهبرداری را در حوزه ارزهای دیجیتال داغ‌تر کرده است. اسکمرها معمولا از طریق ایمیل یا سایت‌های فیشینگ به مخاطبان خود پروژه‌هایی با سوددهی بالا را وعده می‌دهند. چنین وعده‌‌ای نه‌تنها اتفاق نمی‌افتد؛ بلکه پروژه‌های معرفی شده ارزهای دیجیتال جعلی، راگ پول یا پلتفرم‌های معاملاتی تقلبی هستند.

در کلاهبرداری‌های فیشینگ (Phishing)، فرد کلاهبردار با استفاده از فریب روانی کاربر را تشویق می‌کند تا اطلاعات ورود یا کلیدهای خصوصی خودش را وارد ایمیل‌ یا سایت جعلی کند که واقعی به‌نظر می‌رسد. طرح‌های پانزی (Ponzi) هم نوعی از کلاهبرداری هستند که وعده سودهای قطعی و تضمینی بسیار بالا می‌دهند؛ اما این وعده درصورتی محقق می‌شود که دائما اعضای جدید اضافه شوند. درواقع طرح‌های پانزی از طریق تزریق پول سرمایه‌گذاران جدید به سرمایه‌گذاران قدیمی سرپا می‌مانند. اگرچه پروژه‌های پانزی شبیه به طرح‌های هرمی به‌نظر می‌رسند؛ اما تفاوت‌هایی در آن‌ها وجود دارد.

پروژه‌های جعلی هم به مدد پامپ و دامپ (Pump & Dump) و راگ پول (Rug Pull) نقشه خود را اجرا می‌کنند. در این نوع کلاهبرداری‌ها ابتدا پروژه، توکن جعلی خود را با استفاده از تبلیغات فراوان با ارزش جلوه می‌دهد و برای جلب توجه کاربران قیمت را پامپ می‌کند؛ اما در این لحظه بانیان پروژه که به هدف خود رسیده‌‌اند با سرمایه‌ به‌دست آمده فرار می‌کنند و کاربران را با یک مشت توکن بی‌ارزش رها می‌کنند. پلتفرم‌های معاملاتی جعلی نیز با وعده ارائه سود بالای حاصل از معاملات، کاربران را جذب می‌کنند؛ اما پس از به‌ چنگ آوردن دارایی ناگهان ناپدید می‌شوند.

روش‌های در امان ماندن از کلاهبرداران ارزهای دیجیتال

برای اینکه طعمه کلاهبرداران و اسکمرها نشوید این نکات را رعایت کنید:

• فقط از پلتفرم‌های معاملاتی و کیف پول‌های قابل‌ اعتماد و معتبر استفاده کنید.
• قبل از سرمایه‌گذاری خودتان تحقیق کنید (DYOR) و همه جوانب را بسنجید.
• پیشنهاد سود ثابت بالا و تضمینی طعمه‌ای بیش نیست.
• مراقب پیام‌هایی که اطلاعات شخصی و پول آنلاین درخواست می‌کنند، باشید.
• کلیدهای خصوصی‌ خود را در جای امن و مطمئنی ذخیره کنید و آن‌ها را هرگز با دیگران به اشتراک نگذارید.

نمونه‌هایی از اسکم‌ ارزهای دیجیتال

هر زمان که تب‌وتاب بازار برای میم‌کوین‌هایی مانند پپه (PEPE) داغ می‌شود، کلاهبرداران هم برای ماهی‌ گرفتن از این فرصت دست‌به‌کار می‌شوند. به‌طور مثال، شرکت امنیت بلاکچین پک‌شیلد (PeckShield) در ماه می گذشته، حداقل ۱۰ پروژه کلاهبرداری میم‌کوین را شناسایی و در مورد آن‌ها هشدار داد. این پروژه‌ها معمولا بعد از جذب نقدینگی، زیر پای سرمایه‌گذار را خالی می‌کنند و ناپدید می‌شوند.

حمله در ارزهای دیجیتال چیست؟

همان‌طور که فضای ارزهای دیجیتال روز‌به‌روز بزرگ‌تر می‌شود، سایه تهدید حملات سایبری مانند حمله انکار سرویس (DoS)، بدافزارها و باج‌افزارها هم سنگین‌تر می‌شود. در حمله انکار سرویس (Denial-of-Service) فرد مهاجم با ارسال ترافیک بیش‌از‌اندازه به یک شبکه یا سیستم آن را تحت‌الشعاع قرار می‌دهد و از کار می‌اندازد. در حوزه ارهای دیجیتال هدف این نوع حمله، معمولا صرافی‌ها و پلتفرم‌ها هستند تا عملا دسترسی کاربر به دارایی‌های دیجیتال یا امکان انجام تراکنش‌ها را از بین ببرند.

حملات بدافزاری (Malware attacks) نیز از طریق نصب یک نرم‌افزار مخرب روی سیستم یا شبکه انجام می‌شوند. در واقع نرم‌افزار اجازه دسترسی به اطلاعات حساس یا دارایی‌های دیجیتال را به شخص غیرمجاز می‌دهد. در حملات بدافزاری در محیط ارزهای دیجیتال، فرد مهاجم با سرقت کلیدهای خصوصی یا اعتبارنامه ورود به سیستم می‌تواند به دارایی‌های دیجیتال که گاهی میلیون‌ها دلار ارزش دارد، دسترسی پیدا کند.

در حملات باج‌افزار (Ransomware attacks) فرد مهاجم فایل‌های یک سیستم یا شبکه را رمزگذاری می‌کند و تنها پس از دریافت باج، کلید را رمزگشایی می‌کند. این نوع حملات، صرافی‌ها و کیف پول‌های ارز دیجیتال را نشانه می‌گیرند و تا زمانی که به هدف‌شان نرسند، از دسترسی کاربر به دارایی جلوگیری می‌کنند.

روش‌های در امان ماندن از حملات

کیف پول‌ها و صرافی‌های ارز دیجیتال برای جلوگیری از این نوع حملات و کاهش تهدیدات سایبری باید نکات زیر را رعایت کنند:

• اتخاذ تدابیر امنیتی قوی
• انجام‌دادن ارزیابی‌ها و آدیت‌های امنیتی
• استفاده از راه‌حل‌های ذخیره‌سازی سرد

نمونه‌هایی از حملات ارزهای دیجیتال

در ۳ سپتامبر ۲۰۲۲ (۱۲ شهریور ۱۴۰۱) یکی از بزرگ‌ترین استخرهای استخراج ارزهای دیجیتال مورد حمله سایری قرار گرفت. در جریان حمله به این استخر که طیف وسیعی از رمزارزها مانند بیت کوین و لایت کوین را استخراج می‌کرد، سرمایه‌ قابل‌توجهی از شرکت و مشتریان از دست رفت. ارزش دلاری دارایی‌های کاربران تقریبا ۷۰۰٬۰۰۰ دلار و ارزش دارایی متعلق به شرکت ۲.۳ میلیون دلار برآورد شد.

اکسپلویت ارزهای دیجیتال چیست؟

منظور از اکسپلویت (Exploit) تکنیکی است که از نقص یا آسیب‌پذیری یک سیستم برای دسترسی غیرمجاز، اجرای کدهای مخرب یا سایر اثرات نامطلوب استفاده می‌کند. این نوع سوء‌استفاده در اکثر موارد منجر به سرقت دارایی‌های دیجیتال می‌شود و خسارت مالی سنگینی را به قربانیان وارد می‌کند. اکسپلویت‌ها ممکن است از راه‌های مختلفی مانند باگ‌های نرم‌افزاری، حملات شبکه یا حتی خطاهای انسانی انجام شوند.

حمله وام سریع، حمله ۵۱ درصدی و تجارت شستشو نمونه‌های رایجی از اکسپلویت در فضای ارزهای دیجیتال هستند. در حمله وام سریع (Flash Loan) مهاجم سایبری با گرفتن وام فلش که نوعی وام بدون نیاز به وثیقه است، بازار را دستکاری می‌کند.

حمله ۵۱ درصدی ( Attack 51%) زمانی اتفاق می‌افتد که یک فرد یا گروه کنترل بیش از ۵۰ درصد توان استخراج شبکه بلاکچین اثبات کار (PoW) را به دست آورند. تنها در این صورت است که مهاجمین می‌توانند تراکنش را کپی کنند و دارایی‌ خرج‌شده را دوباره مورد استفاده قرار دهند. این فرایند را با نام حمله دوبارخرج کردن (Double Spending) می‌شناسیم.

تجارت شستشو (Wash Trading) نیز نوعی دستکاری بازار است که یک معامله‌گر از طریق خرید و فروش سریع توکن، تورم مصنوعی ایجاد می‌کند تا قیمت توکن پامپ شود و سود به‌دست بیاورد. این نوع سوء‌استفاده ممکن است ضررهای اندک یا هنگفت سایر سرمایه‌گذاران را به دنبال داشته باشد.

نمونه‌هایی از اکسپلویت ارزهای دیجیتال

حمله هکری به پروتکل وام‌دهی اویلر فایننس (Euler Finance) بزرگ‌ترین حمله مرتبط به پروتکل‌های دیفای در سال گذشته بوده است. در این اکسپلویت حدود ۲۰۰ میلیون دلار از دارایی‌های دیجیتال کاربران به سرقت رفت. فرد مهاجم ابتدا از لوریج برای دارایی‌های یک وام سریع استفاده کرد و سپس با سوءاستفاده از آسیب‌پذیری قرارداد استخر اویلر، دارایی‌های ۵ استخر وام‌دهی را خالی کرد. طبق گزارش صرافی، فرد مهاجم از آن زمان تاکنون به‌تدریج ۱۷۷ میلیون دلار از وجوه را بازگردانده است.

دومین اکسپلویت بزرگ سال‌های اخیر نیز زمانی اتفاق افتاد که دو پروتکل وام‌دهی بنک دائو (BonqDAO) و پروتکل استیبل کوین ایلینس‌بلاک (AllianceBlock) در یک دستکاری اوارکل قیمت هدف حمله دومرحله‌ای قرار گرفتند. اگرچه میزان خسارت تخمینی ۱۲۰ میلیون دلار گزارش شد؛ اما به دلیل نقدینگی کم اوراکل، فرد مهاجم فقط ۱.۳ میلیون دلار از دارایی‌ها را برداشت کرده بود.

جمع‌بندی

برای افرادی که در صنعت کریپتو فعال هستند و به هر نحوی با ارزهای دیجیتال سروکار دارند، درک تفاوت هک، اسکم، حمله و اکسپلویت ضروری است. این مفاهیم اشکال متفاوت از تهدیدهایی هستند که دارایی‌های دیجیتال را به خطر می‌اندازند. هک، نفوذ به یک سیستم یا شبکه از طریق آسیب‌پذیری موجود در نرم‌افزار یا سخت‌افزار است. حملات بروت فورس و کلاهبرداری‌های فیشینگ نمونه‌ای از هک‌ها هستند.

اسکم، فریب روانی کاربر برای دریافت اطلاعات حساس یا داده‌های مربوط به دارایی است. سایت‌ها و ایمیل‌های فیشینگ ابزاری برای اسکمرها هستند. حملات شامل دامنه وسیع‌تری می‌شوند و هر اقدامی با هدف ایجاد اختلال، آسیب یا تخریب به یک سیستم یا شبکه حمله محسوب می‌شود. اکسپلویت‌ سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری یا سخت‌افزاری برای دسترسی یا کنترل غیرمجاز یک سیستم است. هک و اکسپلویت تقریبا شبیه به هم هستند و انجام آن‌ها به مهارت و دانش فنی نیاز دارد؛ اما حمله و اسکم را می‌توان از طریق تاکتیک‌های مهندسی اجتماعی و ترغیب خواسته یا ناخواسته کاربر برای فاش کردن اطلاعات حساس انجام داد.

سوالات متداول (FAQ)