بسیاری از طرفداران بلاک‌چین، این تکنولوژی و ماهیت توزیع شده و غیر متمرکز آن را بسیار امن می‌دانند. اما با توجه به اینکه تراکنش‌های اکوسیستم ارز دیجیتال برای عموم مردم مشخص و قابل بررسی هستند و بین کل شبکه به اشتراک گذاشته می‌شوند و از آنجایی که تراکنش‌ها توسط همه اعضای این شبکه اعتبارسنجی می‌شوند، هک بلاک‌چین چگونه انجام می‌شود؟ متأسفانه بر خلاف باور عده‌ای از کاربران، بعضی از این سیستم‌ها آنطور که قبلاً تصور می‌شد، نفوذ ناپذیر نیستند.

با توجه به افزایش آگاهی عمومی در رابطه با ارزهای دیجیتال و اوج گرفتن ارزش بعضی از توکن‌ها در سال‌های اخیر، انگیزه هکرها و کلاهبرداران برای پیدا کردن راه‌های سرقت ارزهای دیجیتال بیشتر شده چون حالا این کار برای آنها سود بیشتری دارد. در واقع، سرقت ارزهای دیجیتال، تبدیل به یکی از دغدغه‌های مهم مشاغل بزرگ شده است. در سال 2022 شاهد ثبت رکورد سرقت 3.8 میلیارد دلار توکن کریپتو در سطح جهان بودیم.

لازم به ذکر است که بیشتر توکن‌ها (حدود 80 درصد سال پیش) از پروتکل‌های اقتصاد غیرمتمرکز (دیفای) به سرقت رفته بودند و دو سوم از سرقت‌های دیفای شامل استفاده از پروتکل‌های پل بین زنجیره‌ای بودند. این پل‌ها به کاربران امکان می‌دهند که دارایی‌ها را بین بلاک‌چین‌های مختلف مبادله کنند و معمولاً حجم زیادی از توکن‌های مختلف در آنها نگهداری می‌شود که همین مسئله می‌تواند انگیزه‌ای برای حمله به چنین سیستم‌هایی باشد.

در هر صورت، به نظر می‌رسد که حالا هک‌های کریپتو و بلاک‌چین از همیشه مهم‌تر و برجسته شده‌اند. به همین دلیل در ادامه مطلب نگاهی به بزرگترین هک‌های بلاک‌چین و ارزهای دیجیتال تا به امروز خواهیم داشت.

اکسچنج مت گوکس

اکسچنج مت گوکس (Mt. Gox) که حالا منحل شده، هدف اولین هک و سرقت بزرگ ارزهای دیجیتال در تاریخ قرار گرفت. مت گوکس در سال 2011، زمانی که هدف یک سرقت 400 هزار دلاری قرار گرفت (25 هزار بیت‌کوین) حدود دو سوم از تراکنش‌های بیت‌کوین را مدیریت می‌کرد.  شاید این اعداد و ارقام با توجه به ارزش بیت‌کوین در آن زمان زیاد به نظر نرسد اما این تنها حمله بر علیه اکسچنج مت گوکس نبود. در سال 2014 هم حادثه دیگری رخ داد که در آن 750 هزار بیت‌کوین به ارزش 473 میلیون دلار به سرقت رفت. در آن زمان، این رقم معادل با حدود 7 درصد از کل بیت‌کوین‌های موجود در جهان بود.

هک مرتبط با BNB در بایننس

بایننس هنوز یکی از مهم‌ترین اکسچنج‌های جهان محسوب می‌شود اما در اواخر سال 2022 این اکسچنج مهم هدف یک هک 570 میلیون دلاری قرار گرفت. در این حمله هکرها توانستند از باگی در یک قرارداد هوشمند که باعث آسیب‌پذیری این بلاک‌چین می‌شد، بهره برداری کنند. این سارقان از پل بین زنجیره‌های BSC Token Hub برای تولید بایننس کوین (BNB) اضافه و برداشت حدود 2 میلیون از این توکن‌ها که توکن بومی بایننس است، استفاده کردند.

مشکل FTX و سوء استفاده سارقان

یکی از بزرگترین سرقت‌های دنیای ارزهای دیجیتال اخیراً رخ داد. در نوامبر سال 2022، اکسچنج و صندوق پوشش ریسک FTX درخواست ورشکستگی ثبت کرد و بعد به طور کامل منحل شد. همان روز، سارقان بیش از 600 میلیون دلار ارز را از والت‌های این شرکت به سرقت برده بودند. این احتمال وجود دارد که سارقان از مشکلات داخلی این اکسچنج به نفع خودشان استفاده کرده باشند. بعداً FTX اعلام کرد که اپلیکیشن این شرکت هک شده و کاربران باید آن را حذف کنند. متأسفانه این هک باعث از دست رفتن توکن‌های خیلی از کاربران FTX شد.

بزرگترین هک: یک پلتفرم گیمینگ

بزرگترین هک کریپتو تا به امروز مربوط به شبکه رانین است. شبکه رانین یکی از اکوسیستم‌های وابسته به پلتفرم گیمینگ اکسی اینفینیتی بود. در این حمله 625 میلیون دلار اتریوم و USDC به سرقت رفت. مقامات آمریکایی گروه Lazarus را عامل این حمله اعلام کردند که یکی از گروه‌های هکر تحت حمایت کره شمالی است. ظاهراً هکرها توانسته بودند به کلیدهای خصوصی دسترسی پیدا کرده و تراکنش‌های بلاک‌چین را جعل کنند.

حمله مهم به پلی نتورک

یکی از بزرگترین حملات مرتبط با دیفای در تابستان 2021 رخ داد. در این حمله که عامل آن فقط یک نفر بود، از یک آسیب‌پذیری در پلتفرم دیفای پلی نتورک برای سرقت 611 میلیون دلار وجه در قالب توکن‌های مختلف استفاده شد. توسعه دهندگان پلی نتورک از هکر ناشناس درخواست کردند که این توکن‌ها را به آنها برگرداند. در کمال تعجب این هکر هم دو روز پس از حمله حدود نیمی از توکن‌های به سرقت رفته را به اکسچنج برگشت داد و اعتراف کرد که انگیزه او از این حمله فقط سرگرمی بوده است.

Wormhole

سال پیش، پلتفرم آزمایشی دیفای Wormhole که یکی از پل‌های محبوب بین زنجیره‌ای است، هدف حمله‌ای قرار گرفت که باعث سرقت حدود 326 میلیون دلار توکن Wrapped Ethereum (WETH) شد. هکرها از طریق سولانا به این پلتفرم حمله کردند که کاربران در آن توکن اتر را قفل می‌کردند تا WETH دریافت کنند. خوشبختانه، شرکت پدر Wormhole یعنی Jump Trading دارایی‌های به سرقت رفته را جایگزین کرده و این پل را تعمیر کرد اما این حادثه هم نشان داد که هکرها همواره آماده و منتظر هستند تا به محض شناسایی یک نقطه ضعف در پروتکل‌های جدید از آنها سوء استفاده کنند.

حمله چند هکر به Nomad

در تابستان سال گذشته، یکی دیگر از پل‌های بلاک‌چین موسوم به Nomad در اثر اجرای چندین حمله حدود 190 میلیون دلار متضرر شد. این حملات با بهره برداری از یک نقطه ضعف در قراردادهای هوشمند اجرا شدند که ورودی‌های تراکنش را بی اعتبار می‌کرد. ویژگی مهم این حادثه این بود که اقدام هکر اصلی باعث شد که چند هکر دیگر هم از این نقطه ضعف سوء استفاده کنند تا اینکه در نهایت این مشکل رفع شد. حتی بعضی از این هکرها سعی کردند دارایی‌های به سرقت رفته را به پروتکل Nomad برگردانند اما بعضی دیگر مسیر هکر اصلی را طی کرده و توکن‌های بیشتری را به سرقت بردند.

سوء استفاده از پروتکل‌های حاکمیتی

بعضی از مهم‌ترین سرقت‌های بلاک‌چین در اصل هک محسوب نمی‌شوند بلکه حمله به اکوسیستم‌های کریپتوی هستند که از ساختار این سیستم‌ها برای انجام اقدامات مخرب سوء استفاده می‌کنند. حمله مشهور 51 درصد یکی از این حملات است - که در آن مهاجمان با جمع آوری 51 درصد از قدرت شبکه، کنترل آن را در اختیار گرفته و به جعل تراکنش و اقدامات مخرب دیگر می‌پردازند. اما سارقان باهوش توانسته‌اند روش‌های دیگری هم برای سوء استفاده از ساختار بلاک‌چین ابداع کنند.

در سال 2022، پروتکل استیبل کوین Beanstalk Farms قربانی مهاجم دیگری شد که با دستکاری ساختار حاکمیتی سیستم، 76 میلیون دلار از آن سرقت کرد. این مهاجم با استفاده از یک وام فلش مقداری توکن حاکمیتی خریده و سپس از قدرت حاصل از این توکن‌ها برای تأیید پیشنهاداتی که منجر به درج قراردادهای هوشمند مخرب می‌شدند، استفاده کرد.

همه این حملات به صورت اختصاصی بلاک‌چین‌ها را هدف نگرفته‌اند. بلکه بعضی از آنها موفق به شناسایی نقطه ضعف‌های قابل بهره برداری در اکسچنج‌های کریپتو شده و تعداد بسیاری هم از محصولات جدیدتر مثل پروتکل‌های دیفای و پل‌های کریپتو بهره برداری کرده‌اند. در برخی موارد، سارقان موفق به پیدا کردن والت‌های ناامن شده و در بعضی دیگر راه‌های هوشمندانه‌ای برای کنترل کل یک اکوسیستم پیدا کرده‌اند. صرف نظر از روش و ابزار مورد استفاده، این واقعیت که حملات کریپتو زیاد رخ می‌دهند - و حتی بعضی از بزرگترین بازیگران حوزه کریپتو قربانی سرقت شده‌اند - باید یادآوری برای همه کاربران کریپتو باشد تا نسبت به امنیت توکن‌های خودشان توجه و دقت بیشتری داشته باشند.

خوشبختانه به نظر می‌رسد که این شرایط در حال تغییر باشد. در سه ماهه اول سال 2023 حدود 40 حمله به پروژه‌های کریپتو صورت گرفت که باعث سرقت 400 میلیون دلار توکن شدند. این آمار تنها معادل با 30 درصد از حملات صورت گرفته در سه ماهه اول سال 2022 است. میانگین اندازه هک هم به حدود دو سوم کاهش یافته و به 10 میلیون دلار رسیده است. نکته جالب‌تر اینکه حالا تعداد بیشتری از هکرها دارایی‌های به سرقت رفته را به قربانیان برمی‌گردانند. در سه ماهه اول امسال، قربانیان این حملات حدود نیمی از توکن‌های به سرقت خودشان را پس گرفته‌اند. ممکن است هکرها واقعاً این کار را صرفاً برای سرگمی و نشان دادن نقطه ضعف‌های موجود در اکوسیستم‌های بلاک‌چین یا برای به دست آوردن پاداش "هک کلاه سفید" انجام داده باشند.

جمع بندی

• طرفداران تکنولوژی بلاک چین این فناوری را بسیار امن تلقی می‌کنند اما تا به امروز هکرها موفق به سرقت مبالغ عظیمی از پروژه‌های بلاک چین شده‌اند.
• در سال 2022 با اجرای هک و حملات هدفمند، حدود 3.8 میلیارد دلار ارز دیجیتال به سرقت رفت.
• بسیاری از هکرها اکسچنج‌های کریپتو و پل‌های توکن را هدف گرفته‌اند که به کاربران امکان می‌دهند بین اکوسیستم‌های بلاک‌چین مختلف توکن جابجا کنند. همچنین پلتفرم‌های دیفای که دچار نقطه ضعف امنیتی هستند.
• از جمله حملات و سرقت‌های مهم می‌توان به هک اکسچنج مت گوکس اشاره کرد که به نوعی آغازگر سرقت‌های کریپتو شد. روندی که در نهایت باعث سرقت صدها میلیون دلار توکن از بایننس و اکسچنج‌های دیگر شد.
• بزرگترین حمله به یک بلاک‌چین تا به امروز مربوط به پلتفرم گیمینگ اکسی اینفینیتی بود که در این حمله حدود 625 میلیون دلار توکن به سرقت رفت.
• برخی مهاجمان از فرایندهای حاکمیتی برای انتقال دارایی‌ها استفاده می‌کنند مثل سرقت از Beanstalk Farms در سال 2022.
• در اوایل سال 2023 شاهد تغییر چشم‌انداز سرقت‌های کریپتو بودیم. حالا علاوه بر کاهش آمار این سرقت‌ها نسبت به سه ماهه اول سال 2022، بسیاری از هکرها توکن‌های به سرقت رفته را به صاحبان آنها برمی‌گردانند تا برای افشای نقطه ضعف‌های امنیتی پروژه‌های بلاک چین پاداش دریافت کنند.