سرقت ۴.۵ میلیون دلاری از نهنگی کهنه‌کار؛‌ پشت پرده‌ هک مرموز HEX

یک هک ۴.۵ میلیون دلاری در شبکه HEX نه‌تنها یکی از قدیمی‌ترین نهنگ‌های این اکوسیستم را هدف قرار داد، بلکه پرده از شبکه‌ای پیچیده از فیشینگ، پول‌شویی و سرقت از کیف‌ پول‌ها برداشت.

به گزارش میهن بلاکچین، قربانی این حمله، نهنگی کهنه‌کار در جامعه HEX بود که با نام مستعار «HEX19» شناخته می‌شود. او در جریان یک هک تدریجی که طی چند سال انجام شده، حدود ۴.۵ میلیون دلار از دارایی‌های قفل‌شده‌اش در HEX را از دست داد.

در ابتدا، به نظر می‌رسید که این نهنگ در حال برداشت سرمایه است؛ اما جامعه خیلی زود فهمید که ماجرا از این ساده‌تر نیست. او خودش دارایی‌ها را آزاد نکرده بود؛ بلکه قربانی یک حمله پیچیده سایبری شده بود.

آنچه در این مطلب می‌خوانید

سرنخ‌های قدیمی، زخم‌های تازه

حمله هکری به نهنگ ۴.۵ میلیون دلاری HEX، از نوامبر ۲۰۲۱ آغاز شد و رد پای آن به چندین کیف‌ پول فیشینگ رسید. بررسی‌ها نشان داده که این حمله به هویتی آنلاین با نام «Konpyl» مرتبط است؛ فرد یا گروهی که برای محققان حوزه رمزنگاری چهره‌ای شناخته‌شده محسوب می‌شود!

این نفوذ نه‌تنها بر قیمت توکن HEX اثر گذاشت، بلکه ارتباط آن با عملیات فریب و فیشینگ گسترده‌تری، از جمله کلاهبرداری بزرگ ۱.۶ میلیون دلاری در کیف‌پول جعلی Rabby در فوریه ۲۰۲۴ و پروژه مخرب Inferno Drainer نیز مشخص شد.

🔴 کلاهبرداری با توکن‌های گس؛ موقع لغو دسترسی‌های مالتی‌چین به این نکته دقت کنید

رمزارز HEX چیست؟ گواهی سپرده‌ای دیجیتال روی بلاکچین

توکن HEX، رمزارزی مبتنی بر استاندارد ERC-20 روی شبکه اتریوم است که با هدف شبیه‌سازی «گواهی سپرده بانکی» در دنیای دیجیتال طراحی شده است. کاربران می‌توانند توکن‌های خود را در این سیستم استیک کنند و بسته به مدت زمان قفل شدن، پاداش دریافت نمایند—هرچه مدت زمان بیشتری صبر کنید، پاداش بیشتری می‌گیرید. این مفهوم که به آن مکانیسم اجماع «اثبات انتظار» (Proof-of-Wait) گفته می‌شود، کاربران را به نگه‌داری بلندمدت ترغیب کرده و HEX را هم به ابزار پس‌انداز دیجیتالی تبدیل کرده است.

قیمت توکن HEX پس از هک کیف‌ پول HEX19 سقوط کرد.

پروژه HEX در دسامبر ۲۰۱۹ توسط ریچارد هارت راه‌اندازی شد و از همان ابتدا توجه کاربران زیادی را به خود جلب کرد—هم به‌خاطر ساختارش و هم به‌دلیل جنجال‌ها و انتقاداتی که پیرامون آن شکل گرفت. برخی منتقدان HEX را به طرح‌های پانزی تشبیه کرده و حتی پرونده‌هایی از سوی کمیسیون بورس و اوراق بهادار آمریکا (SEC) علیه HEX مطرح شد. با این حال، HEX همچنان در فضای دیفای فعال است و به عنوان ذخیره‌کننده ارزش و ابزار سرمایه‌گذاری بلندمدت در بلاکچین شناخته می‌شود.

اعلام حکم بازداشت بنیان‌گذار پلتفرم هگز (HEX) توسط پلیس اینترپل؛ اتهام فرار مالیاتی و حمله به یک نوجوان

شبکه‌ای زیرزمینی از هکرها، پول‌شویی‌ها و کیف‌ پول‌های کثیف

یکی از محققان بلاکچین که به شرط ناشناس ماندن صحبت کرده، گفت:

جریان خروجی مستقیم از کیف‌پول قربانی، به کیف‌هایی که در کلاهبرداری Rabby استفاده شده‌اند، قابل ردیابی است. همچنین بخشی از این وجوه، مستقیماً وارد کیف‌پول‌هایی شده‌اند که به پول‌شویی وجوه فیشینگ Inferno Drainer اختصاص داشته‌اند.

اولین موج خروجی از کیف‌پول HEX19 در نوامبر ۲۰۲۱ اتفاق افتاد، همزمان با آزاد شدن تدریجی دارایی‌هایی که برای دوره‌های طولانی‌مدت (مثلاً ۱۰ ساله) قفل شده بودند و طی سال‌های بعد نیز این روند ادامه یافت. برخی از این قفل‌ها به‌صورت زودهنگام با جریمه باز شدند؛ اما نه توسط صاحبشان، بلکه توسط هکر.

کیف‌ پول HEX19 در تاریخ ۲۱ نوامبر نزدیک به ۴ میلیون دلار از دست داد.

هرچه محققان بیشتر به بررسی کیف‌پول‌های مرتبط با این هک پرداختند، بیشتر روشن شد که این حمله، یک مورد منحصر‌به‌فرد نبوده و آدرس‌های مورد استفاده در این هک، در کمپین‌های مختلف فیشینگ و پول‌شویی دیگر نیز دیده شده‌اند. همه این مسیرها، به یک اسم ختم می‌شوند: Konpyl.

هویت واقعی پشت یک نام مستعار اینترنتی

در تحقیقی که در اکتبر ۲۰۲۴ منتشر شد، شواهد آنچین و آفچین که توسط محقق و نهاد دولتی آمریکا جمع‌آوری شده بود، Konpyl را به شخصی به نام «کنستانتین پیلینسکی» (Konstantin Pylinskiy) مرتبط دانست، یکی از مدیران یک شرکت سرمایه‌گذاری مستقر در دبی که در فضای مجازی از این نام مستعار استفاده می‌کند. لازم به ذکر است که پیلینسکی هرگونه ارتباط با این کلاهبرداری‌ها را رد کرد.

محققان می‌گویند دلیل اصلی موفقیت حمله به HEX19، اشتباهی فاجعه‌بار، یعنی ذخیره عبارت بازیابی (Seed Phrase) در فضای ابری بود. بررسی تراکنش‌ها نشان می‌دهد که هکرها معمولاً ابتدا از دارایی قربانی برای انتقال اولیه به حساب‌های جعلی استفاده می‌کنند؛ الگویی آشنا در حملات منتسب به Konpyl.

برداشت میلیونی در سکوت؛ جدول زمانی یک هک بی‌صدا

نخستین تراکنش مشکوک از کیف‌پول قربانی در تاریخ ۳ نوامبر ۲۰۲۱ ثبت شد؛ اما برداشت گسترده در ۲۱ نوامبر آغاز شد. در آن روز، حدود ۴ میلیون دلار از کیف‌ پول HEX19 طی ۹ تراکنش مجزا خارج شد. بیشتر این وجوه، به آدرسی به نام HEX Hacker 1 (HH1) فرستاده شد: 0xcfe…8A11D

آدرس HH1 در همان روز، ۲.۶۴ میلیون دلار (برابر با ۱۲.۳۳ میلیون HEX) را به کیف‌ پول دوم، HEX Hacker 2 (HH2) منتقل کرد. در ۱۰ دسامبر ۲۰۲۱ نیز حدود ۸۶,۷۰۰ دلار دیگر از HH1 به HH2 فرستاده شد. در ۱۸ فوریه ۲۰۲۲، HH1 حدود ۵.۲ میلیون HEX (به ارزش تقریبی ۱ میلیون دلار) و مقداری ETH را به آدرس جدیدی منتقل کرد که تاکنون این وجوه در آن باقی مانده‌اند.

مسیرهای مارپیچ تا Tornado Cash

آدرس HH2 نقش اصلی را در روند پول‌شویی ایفا می‌کرد. بین دسامبر ۲۰۲۱ تا مارس ۲۰۲۲، این آدرس بیش از ۱ میلیون دلار را به پروتکل تورنیدو کش (Tornado Cash) فرستاد تا رد تراکنش‌ها را از بین ببرد.

همچنین ۱۰۶,۷۵۸ دلار DAI از HH2 به کیف‌پول میانی دیگری فرستاده شد که از آن برای تعامل با پلتفرم‌های دیفای مانند 1inch استفاده می‌شد. این کیف‌پول میانی هم با آدرسی تعامل داشت که مستقیماً از Konpyl وجوه دریافت کرده بود.

زنجیره‌ پول‌شویی HH2 با آدرسی با ریسک بالا نیز تلاقی داشت: کیف‌ پولی با بیش از ۷۰ تراکنش مشکوک!

در ۱۶ می ۲۰۲۴، کیف‌ پول سومی (HH3) وارد میدان شد و شروع به برداشت از کیف‌پول قربانی کرد. HH3 حدود ۱۰۸,۰۰۰ دلار HEX برداشت کرده و با آدرسی مرتبط شد که قبلاً در گزارشی تحقیقی، به Inferno Drainer متصل شده بود و باز هم رد پای Konpyl در آن دیده می‌شود. در نهایت، کیف‌ پول چهارم (HH4) از تاریخ ۱۲ ژانویه ۲۰۲۴ شروع به برداشت از دارایی‌های باقی‌مانده HEX19 کرد. این کیف پول با آدرسی مرتبط است که در کلاهبرداری Rabby نیز استفاده شده بود.

راهکارهایی برای حفظ امنیت عبارت بازیابی

تجربه‌ای تلخ، درسی برای دیگران

نهنگ داستان ما، HEX19، که ظاهراً بازنشسته‌ دهه هشتادی است، در مصاحبه‌ای با عضو جامعه HEX به نام Mati Allin، پس از وقوع این هک گفت:

حسی ته دلم پیدا کردم که می‌گوید: وای خدای من… بعد پیش خود فکر کردم که ای وای، باید به خانواده‌ام بگویم که باز هم خراب کردم.

او گزارش‌هایی به پلیس ارائه داده، اما تا به امروز صرافی‌ها نتوانسته‌اند کمک زیادی کنند. بخش زیادی از دارایی‌هایی که برای دوره‌های بلندمدت قفل شده بودند، به بمب ساعتی تبدیل شده‌اند—او می‌دانست که هکرها هنوز به آن‌ها دسترسی دارند و دیر یا زود تمام آنچه باقی‌مانده را هم خواهند دزدید.