بزرگترین هک های حوزه کریپتو در سال 2020 و 2021

در این مقاله تیم نوین والت به بازگویی بزرگترین هک های حوزه کریپتو در سال 2020 پرداخته و درس هایی برای عبرت گرفتن از آن اتفاقات را برای شما بازگو نماییم.

بزرگترین هک های حوزه کریپتو

سال 2020 سالی باورنکردنی در زمینه ارزهای دیجیتال بود که با مشکلاتی نیز همراه بود. کاربران زیادی مورد سرقت قرار گرفتند و صدها میلیون دلار ارزهای ارزشمند دیجیتالشان را از دست دادند. در این مقاله پنج نوع از بدترین هک های حوزه کریپتو در سال 2020 را مرور کرده و به برخی از درس های امنیتی ضروری برای سال 2021 می پردازیم.

سال 2020 , یک بنر تبلیغاتی برای ارزهای دیجیتال به حساب می رود. با افزایش 224 درصدی ارزش بیت کوین و ارزهای دیگری مانند اتریوم گام های بزرگی رو به جلو برداشته شد.

خوشبختانه احتمال میرود که این روند صعودی در سال 2021 نیز به لطف سرمایه‌گذاری نهادی رو به رشد، چند برابر شدن امکانات کارگزارهای خرده‌فروش ، پیشرفت‌های جدید تکنولوژی و نوآوری‌هایی مانند DeFi ادامه داشته باشد.

علیرغم پیشرفتهای مثبت بازار، مجموعه ای از هک های جسورانه (درست مانند رکورد سرقت ارز های مجازی در سال 2019) نیز بر صنعت کریپتو سایه انداخته است . پس بیایید با هم به بدترین هک ها و رسوایی های سال 2020 و درس هایی که می توان از آنها گرفت نگاهی بیندازیم.

هک شدن اطلاعات مربوط به لجر 

سال 2020 تقریباً برای همه سالی بی‌رحمانه بود و امنیت لجر ، سازنده کیف‌پول سخت‌افزاری پیشرو، نیز همچون دیگران سال بدی را پشت سر گذاشت. وقتی که پایگاه داده کاربران Ledger در ژوئیه 2020 هک شد ، لجر تیتر خبرها شد.

در دسامبر 2020، بررسی ها نشان داد که 1 میلیون آدرس ایمیل و اطلاعات شخصی از 270000 کاربر لجر لو رفته است. لجر همچنین اعلام کرد که اطلاعات بیش از 20000 کاربر به دلیل یک دستکاری داخلی در Shopify هک شده است. این شرکت از آن زمان اقدامات جدیدی برای مقابله با بحران اعلام کرده است.ل

و رفتن اطلاعات منجر به یک کمپین فیشینگ طولانی مدت شد که در آن بسیاری از کاربران لجر از طریق ایمیل فریب خورده و دارایی های رمزنگاری آنها پس از افشای عبارت بازیابیشان به منظور “به روز رسانی” دستگاه به سرقت رفت. همچنین موارد دیگری از قبیل تعویض سیم کارت و حتی تهدید به حمله به خانه و خشونت فیزیکی توسط کاربران گزارش شده است.

اتفاقاتی از این قبیل این پیام را به کاربران می دهند:

مهم نیست قلعه رمزارزهایتان چقدر محکم است، وقتی به مهاجمی از در ورودی اجازه ورود می‌دهید، به هیچ عنوان امنیت ندارید. در نهایت شما بهترین نگهبان دارایی خودتان هستید.

پس لطفا این اقدامات را انجام دهید:

1. از شرکت‌ها و سازمانها بخواهید در مورد نحوه مدیریت و استفاده از اطلاعات شخصیتان  پاسخگو باشند.
2. در برابر تکنیک های پیچیده فیشینگ و کلاهبرداری های این چنینی اطلاعات خود را بالا ببرید.

اگر شما دارای هر یک از انواع کیف پول لجر می باشید، حتما مقاله مراقب حمله های فیشینگ در لجر باشید! را نیز مطالعه نمایید.

حالا به سراغ 5 هک برتر سال 2020 می رویم!

سرقت KuCoin

هک های مبادلات ارزهای دیجیتال در عرصه ی کریپتو رایج است و سال 2020 بزرگترین هک های حوزه کریپتونیز از این قاعده مستثنی نبود. در این سال مجموعه‌ای از هک‌های برجسته، از جمله هک 5.4 میلیون دلاری Eterbase اتفاق افتاد اما بدنام‌ترین آنها هک kucoin بود.

در اواخر سپتامبر، کاربران KuCoin با این خبر که هکرها با بیش از 281 میلیون دلار دست به هک کردن این ارز دیجیتال زده اند، بیدار شدند.

هکرها کلیدهای خصوصی تعدادی از هات والتهای ارز دیجیتال را به دست آورده بودند و از آنها برای برداشت انبوهی از رمزارزها استفاده کرده بودند. صرافی KuCoin  متوجه شد و شروع به مسدود کردن وجوه افراد قبل از خسارت بیشتر کرد.

به‌روزرسانی سریع از آخرین پخش زنده من در 30 سپتامبر 2020

پس از بررسی کامل، مظنونان حادثه امنیتی 9.26 #KuCoin را با مدارک قابل توجهی  یافتیم. مقامات قانونی و پلیس رسماً برای انجام اقدامات مربوطه درگیر هستند.lyu_johnny (@lyu_johnny) سوم اکتبر 2020

اینکه مهاجمان چگونه کلیدهای خصوصی افراد را به دست آورده بودند هنوز مشخص نیست. اما با توجه به اینکه 84 درصد از هک‌ها مانند فیشینگ مبتنی بر social engineering هستند (عمل فریب دادن شخصی به منظور افشای اطلاعات حساس یا انجام اقدامات خاص) ، به نظر می‌رسد این مورد نیز همینطور بوده است.

پس از اینکه هکرها وجوه مورد نظرشان را در اختیار گرفتند، با استفاده از میکسرهای سکه، تراکنش ها را پنهان کرده و آنها را در صرافی های DeFi همچون صرافی UniSwap فروختند.

آنچه در پی آن اتفاق افتاد همچون  شکار لاشخوران ، طولانی و بحث برانگیز بود. Tether حدود 33 میلیون دلار سرمایه را مسدود کرد و KuCoin نیز توانست با موفقیت حدود 204 میلیون دلار ارز دیجیتال را ردیابی کند. باقی مانده وجوه از دست رفته نیز تحت پوشش بیمه صرافی قرار می گیرد.

درسی که از این ماجرا میگیریم : به علت تذکرات زیاد و تکراری، این موضوع به شکل یک کلیشه در آمده اما لطفا رمزارزهایتان را در کیف پولهای صرافی ذخیره و نگهداری نکنید مگر اینکه قصد مبادله ی آنها را داشته باشید.

قراردادهای هوشمند و آسیبهای وارده به DeFi

قراردادهای DeFi برای علاقه مندان ارزهای دیجیتال به یک کابوس تبدیل شده است. از یک طرف، استفاده از این قراردادها در را به روی برخی از نوآوری های مالی باورنکردنی و پاداش های دیوانه کننده برای سرمایه گذاران اولیه که از پروژه های مناسب حمایت می کنند، باز می کند.

از سوی دیگر، کدگذاری توسط افراد دیگر باعث بروز اشتباهات بزرگ یا گاهی اوقات سرقتهای مستقیم می شود.مطالعه ای در سال 2018 نشان داد که حدود 45 درصد از قراردادهای هوشمند دارای نوعی آسیب پذیری هستند.

این مشکل با این واقعیت که یک قرارداد هوشمند پس از استقرار قابل تغییر نیست تشدید نیز می شود. بنابراین هرگونه اشکالی در این تراکنشها وجود داشته باشد در آنها باقی خواهد ماند.

معضل تکرارشونده برای جامعه DeFi !!!

این مسئله به شکل یک معضل تکرارشونده برای جامعه DeFi درآمده و چندین تخلف بزرگ این چنینی نیز در سال 2020 به وجود آمد. اولین حمله بزرگ در فوریه زمانی رخ داد که یک هکر از یک نقطه ضعف سیستم  برای هک کردن پلت فرم وام دهی DeFi bZx  نه یک بار بلکه دو بار استفاده کرد!

هکرها به این طریق نزدیک به 1 میلیون دلار ارز دیجیتال به دست آوردند و پلتفرم مربوطه را مجبور به بستن قراردادهایش کردند.اگرچه این مقدار قابل توجه است، اما در مقایسه با حمله به صرافی چینی DeFi DForce چیزی نیست.

هکرها از آسیب پذیری قسمت ورود مجدد استاندارد توکن ERC-777 سوء استفاده کرده و به این طریق توانستند استخر نقدینگی تقریباً 25 میلیون دلاری آن را تنها در یک شب تخلیه کنند. حملات مشابه دیگری نیز در سراسر سال 2020 در پلتفرم‌های DeFi اتفاق افتاد. بزرگترین هک های حوزه کریپتو همچنان ادامه دارد.

yield farming چیست ؟

یکی از حوزه‌های خاص و در عین حال بسیار پرخطر DeFi به نام yield farming، که به عنوان یک استخراج نقدینگی نیز شناخته می‌شود، در سال 2020 سر به فلک کشید و بسیاری از سرمایه‌گذاران مصون از ریسک (که به‌دنبال ورود به عرصه ی موفقیت احتمالی بعدی YFI هستند) را  به خود جذب کرد.

بسیاری از این پروژه‌ها، پروتکل‌های خود را زودتر اجرا می‌کنند تا مطمئن شوند که رقبا را شکست می‌دهند و کد آنها اغلب دارای باگهایی بوده و تقریباً همیشه حسابرسی نشده می باشد. این امر مستقیماً آنها را در تیررس هکرها قرار می دهد و متأسفانه، به زودی منجر به نوع جدیدی از فعالیت های جنایی که ترکیبی از هک و کلاهبرداری است خواهد شد.

ماینینگ نقدینگی معمولاً به کاربرانی که توکن‌های خود را (مانند SUSHI، YAM، WBTC، UNI) به اشتراک می‌گذارند، پاداش می‌دهد.

این امر نه تنها منجر به بازده بهره مرکب شده بلکه باعث انگیزه بخشی به سرمایه گذاران با القای حس عضویت در یک پروتکل جدید می شود. پس از موفقیت پروژه‌هایی مانند YFI، Compound، Curve، Yam و مجموعه‌ای از سکه‌های DeFi food  و میم، بسیاری از کاربران بد نیز وارد صحنه شده و کد خود را کپی و تغییر دادند و آن را به عنوان داغ‌ترین پروژه جدیدyield farming ، DeFi معرفی کردند.

همچنین بازده درصدی سالانه وعده داده شده (APY)  توسط آنها به هزاران درصد می رسید.زمانی که تعداد مشخصی از سرمایه‌گذاران به یک استخر نقدینگی (که به نظرشان یک پروژه مشروع به نظر می‌رسد) هجوم می‌آورند و میزان مشخصی از ارزهای دیجیتالشان را به اشتراک می‌گذارند، توسعه‌دهنده ی معمولاً ناشناس به راحتی دارایی های افراد را تخلیه کرده و با آنها فرار می‌کند و سرمایه‌گذاران را به حال خود رها می کند.

درسی که از این ماجرا میگیریم :

قراردادهای هوشمند خطاناپذیر نبوده و اغلب آنطور که به نظر می رسند نیستند. همیشه این خطر وجود دارد که در صورت استفاده از آنها، تمام سرمایه تان را از دست بدهید. این به این معنی نیست که DeFi ذاتاً خطرناک است، بلکه به این معنی است که همیشه باید احتیاط کنید.

پس اگر می‌خواهید با پروتکل‌ها و پروژه‌های مبتنی بر قراردادهای هوشمند تعامل داشته باشید، همیشه مطمئن شوید که یک تیم امنیتی قوی دارند و مهمتر از همه اینکه پروژه‌هایشان حسابرسی شده است.

موسس DeFi Mutual  از میلیون ها نفر فریب خورد! 

فقط شرکت ها یا افراد نیستند که مورد کلاهبرداری قرار می گیرند. در دسامبر 2020، بنیانگذار DeFi Mutual  از 8 میلیون دلار دارایی خود محروم شد.

این حمله با شکل نسبتاً پیچیده ای از social engineering شکل گرفت که به هکر اجازه می داد نسخه در معرض ریسک MetaMask را روی دستگاه Karp نصب کند.

این امر Karp را  فریب داد و باعث شد 8.2 میلیون دلار NXM به آدرس هکر ارسال شود.این حمله از این نظر که Karp از یک کیف پول سخت افزاری استفاده می کرد، جالبتر نیز به نظر می رسد.

این کیف پول‌ها معمولاً با نیاز به تأیید تراکنش در خود دستگاه، از حملات این چنینی جلوگیری می‌کنند. همچنین از نظر تئوریک صفحه نمایش دستگاه را نمی توان دستکاری کرد. هکرها  با جایگزینی یک تراکنش مشروع با تراکنش خود توانستند این مانع را نیز از سر راهشان بردارند و به این ترتیب Karp به اشتباه تراکنش آنها را تأیید کرد.

جالب است بدانید بنیانگذار DeFi Mutual به هکرها پیشنهاد داد در صورتی که وجوه سرقت کرده را بازگردانند، این بنیانگزار نیز از اتهامات خود صرف نظر کرده و همچنین 300000 دلار هم به عنوان پاداش به آنها میدهد!

درسی که از این ماجرا می گیریم :

حملات social engineering خطرناک هستند. اگر یک هکر بتواند کنترل مرورگر یا متاماسک شما را در دست بگیرد، می تواند به کیف پول دیجیتالی سخت افزاری شما دستبرد بزند. اگر این اتفاق برای بنیانگذار یک پروژه بزرگ بلاکچین افتاده پس برای شما هم ممکن است بیفتد.

رسوایی Yearn.Finance

حتی Yearn.Finance نیز در سال 2020 با مشکلاتی روبرو شد. در 28 سپتامبر، آندره کرونژه، بنیانگذار Yearn.Finance و محبوب DeFi، یک توییت در مورد “اقتصاد دنیای بازی های چندگانه” آینده منتشر کرد.

برخی از علاقه مندان  DeFi توانستند از این توییت ها برای افشای قرارداد ناتمام و حسابرسی نشده که Eminence نامیده می شود استفاده کنند:

“دیروز مفهوم اقتصاد جدید خود را برای بازی های چندجهانی به پایان رساندیم. طبق روش معمولم  قراردادهای مرحله‌ای خودم را روی ETH مستقر کردم تا بتوانیم به توسعه آن ادامه دهیم. هنوز حداقل  3 هفته دیگر باقی مانده است— آندره کرونژه 29 سپتامبر 2020“ 

این امر، طبیعتا منجر به هرج و مرج مطلق شد زیرا جامعه DeFi توسط FOMO از بین رفت. ظرف چند ساعت “سرمایه گذاران” 15 میلیون دلار در یک قرارداد ناتمام (unfinished contract) ریختند.

سپس یک هکر بلافاصله قرارداد 15 میلیون دلاری را مورد سرقت قرار داد. این دزد دیجیتالی همچنین قبل از اینکه کارش را به پایان برساند، نیمی از اموال خود را به حساب توسعه‌دهنده Yearn.Finance فرستاد که به طرزی غیرمنصفانه منجر به شکل گرفتن ادعاهای توطئه‌ همدستی بنیانگذار آفریقای جنوبی با هکرها شد.

3/x 5. اولین clan “Spartans” را پست کردیم و سپس به رختخواب رفتم.

• حوالی ساعت 3 صبح به من پیام داده شد تقریباً 15 میلیون به قراردادها واریز شده است. 
• تا بفهمم قراردادها به مبلغ 15 میلیون مورد سوء استفاده قرار گرفته و 8 میلیون به حساب yearn: deployer من ارسال شده است.

— آندره کرونژه 29 سپتامبر 2020“ 

احمقانه بودن سرقت 15 میلیون دلار از یک قرارداد ناتمام (که هنوز در حال تولید است) ، باعث خشمگین شدن معامله کنندگان و کاربران شد و همچنین منجر به تلاش برای جدا کردن اکوسیستم Yearn.Finance و شکایت از کرونژه شد.

همچنین این رسوایی،  بنیانگذار Yearn را مجبور کرد از توییتر کناره گیری کند چرا که توسط کاربران توییتری هرروز به مرگ تهدید میشد.

درسی که از این ماجرا می گیریم:

در قراردادهای هوشمند حسابرسی نشده «سرمایه گذاری» نکنید. اگر اصرار به انجام این کار دارید، باید سریعتر از آنچه فکر می کنید خودتان را برای از دست دادن سرمایه تان آماده کنید.

عروسک گردانی در توییتر

 یکی از هوشمندانه‌ترین تلاش‌ها برای کلاهبرداری از معامله‌گران ارزهای دیجیتال، هک از طریق توییتر در ماه جولای بود. برخی از هکرها که به طور ویژه در حملات فیشینگ مهارت داشتند ، توانستند تعدادی از کارمندان توییتر را فریب دهند و از اعتبارشان سو استفاده کنند.

مهاجمان سپس توانستند تعدادی از توییتهای یک کلمه ای که اصطلاحا “OG” نامیده می شوند را هک کرده و لذت ببرند.

چهار هکر جوان حسابهای توییتری 130 سلبریتی از جمله باراک اوباما و Bezos را توسط ابزارهای توییتری حک کردند. Global News365 

اما این تنها شروع ماجرا  است !!!

مدت کوتاهی پس از آن، بایننس توییت کرد که رمزارز را به جامعه کریپتو باز خواهدگرداند. همه کاری که کاربران باید انجام می دادند ارسال بیت کوینهایشان به یک آدرس کیف پول (که توسط هکرها کنترل می شد) بود. خیلی زود توییت‌های مشابه از حساب‌های کریپتو و همچنین تعدادی افراد مشهور منتشر شد.

خوشبختانه هکرها نشان دادند که مهارت کمتری در هک از طریق توییتر دارند. رویکرد آنها شبیه کلاهبرداری کلاسیک شاهزاده نیجریه بود و فقط توانستند حدود 121000 دلار بیت کوین از طریق تلاش های خود به دست آورند.

در ماه جولای، سه نوجوان به دلیل انجام این نوع هک دستگیر شدند.

اما متأسفانه به نظر نمی رسد که این مشکل در توییتر کاملا حل شده باشد چرا که هک دیگری از همین نوع در 15 ژانویه 2021 رخ داد. این بار هکرها روی کلاهبرداری با مضمون ایلان ماسک تمرکز کردند و توانستند حدود 500000 دلار ارز دیجیتال را از این طریق به تصرف خود درآورند.

درسی که از این ماجرا می گیریم :

اگر چیزی به نظرتان شبیه یک کلاهبرداری است در ضمینه بزرگترین هک های حوزه کریپتو ، به احتمال زیاد حدستان درست است. پس به کیف پول های تایید نشده پول نفرستید و هیچگاه تصور نکنید که سلبریتی محبوب توییتریتان ناگهان تصمیم گرفته  ارز دیجیتال به حساب شما روانه کند.

درس هایی برای حفظ امنیت کریپتو برای سال 2021

از این هک ها می توان چند درس گرفت. اولین مورد ، واضح ترین است: امنیت سایبری خوب برای همه مهم است اما برای معامله گران یا شرکت های ارزهای دیجیتال ضروری است. بسیاری از حملات در سال 2020 تنها به لطف هکرهایی که از social engineering استفاده می کردند امکان پذیر شد.

پیروی از بهترین روش‌ها مانند فعال کردن احراز هویت دو مرحله‌ای، راه‌اندازی کانال‌های بازیابی مناسب، و ارسال نکردن تراکنش‌ها به آدرس‌های کیف پول عجیب و غریب (که به شما وعده بیت‌کوین رایگان می‌دهند) شما را از منظر امنیتی در جایگاه خوبی نگه می‌دارد.درس دیگر دشوارتر است.

یکی از ویژگی های رایج اکثر هک های کریپتو در سال 2020، استفاده از صرافی های DeFi برای نقد کردن وجوه بود. این امر باعث جلب توجه رگولاتورها شده و می تواند عواقب جدی به ویژه برای صرافی های DeFi داشته باشد.

 رگولاتورها در اتحادیه اروپا و ایالات متحده شروع به بررسی کنترل های لازم برای محافظت از معامله گران (و پول مالیات آنها) در برابر ناپدید شدن در مبادلات غیرمتمرکز کرده اند. اگر این کنترلها به خوبی مدیریت نشوند، صنعت DeFi  فلج خواهد شد.

اما یک چیز مسلم است: سال 2020 پایان هک کریپتو نبود. سال 2021 مملو از داستان های موفقیت آمیز هکرها و رسوایی های بیشتر بود. پس همواره هوشیار باشید!

با تشکر از وقتی که برای مطالعه مقاله بزرگترین هک های حوزه کریپتو در سال 2020 و 2021 گزاشتید. اگر شما راه کاری را برای جلوگیری از این نوه هک های دیجیتالی و یا اشتباه هاییی که هر انسان در طول روز، ممکن به انجام آن میباشد، که به هکر ها اجازه دسترسی آسان به کیف پول های ارز دیجیتالی را میدهد، میدانید. در قسمت نظرات با ما در میان بگذارید.