هک 600 میلیون‌ دلاری در بازار رمزارزها !

هزاران نفر، اگر نگوییم میلیون‌ها، در دومین هک بزرگ در تاریخ رمزارزها، زیان دیده و پول از دست داده‌اند.

هکرها از شبکه رونین، پلتفرم کلیدی که در آن بازی پرطرفدار اکسی اینفینیتی انجام می‌شود، ۶۱۵ میلیون دلار دزدیده‌اند.

دان ریان، جوان ۲۰ ساله اهل ویلتشایر انگلستان یکی از زیان‌دیدگان است. او به بی‌بی‌سی گفت: "من ۰.۱۵ اتریوم (یک نوع ارز دیجیتال) از دست دادم که حدود ۵۰۰ دلار است. اتفاق بدی است اما دوستانی دارم که در شرایط بدتر هستند."

جک کنی یکی از آن دوستان است که می‌گوید: "من حدود ۱۰ هزار دلار از دست دادم."

این شهروند ۲۳ ساله از ایرلند اضافه می‌کند: "فکر نمی‌کنم مردم اهمیت این هک را بفهمند. ۶۰۰ میلیون دلار بخش بسیار بزرگی از کل دارایی‌ها در این شبکه است."

یک مرد دیگر از ساحل شرقی آمریکا می‌گوید ۸ هزار دلار از دست داده و توضیح می‌دهد آدم‌هایی هستند که وقتشان را برای بازی اکسی اینفینیتی گذاشته و پول دیجیتال جمع کردند و حالا تمام "پس‌انداز زندگی‌" خود را بر باد رفته می‌بینند.

در این بازی، گیمرها یا بازیکنان با حیوانات کارتونی که اکسی خوانده می‌شوند، مبارزه و رمزارز دیجیتال جمع می‌کنند.

این بازی به شدت در میان میلیون‌ها بازیکن در سراسر جهان پرطرفدار است. افراد به امید برنده شدن و گرفتن رمزارز و جمع کردن ان‌اف‌تی یا 'توکن غیر قابل تعویض'، ساعت‌ها بازی می‌کنند.

مخصوصا در فیلیپین این بازی بسیار اهمیت دارد. در این کشور بازی اکسی اینفینیتی به یک کار تمام‌وقت و بالقوه پردرآمد تبدیل شده است.

شبکه رونین که متعلق به یک شرکت ویتنامی به نام اسکای ماویس است، به بازیکنان اجازه می‌دهد سکه‌های دیجیتال را که در بازی اکسی اینفینیتی به دست می‌آورند با سایر رمزارزها مثل اتریوم معاوضه کنند.

این شرکت می‌گوید دو هفته پیش یک هکر معادل ۵۴۰ میلیون دلار رمزارز به خودش منتقل کرده است. اما شرکت اخیرا، و زمانی متوجه این موضوع شد که یکی از مشتریانش نتوانست سرمایه‌اش را بیرون بکشد.

ارزش مقدار رمزارز دزدیده شده از آن زمان بالاتر رفته و به ۶۱۵ میلیون دلار رسیده است.

این تازه‌ترین سرقت از مجموعه دزدی‌های رمزی در سال گذشته بوده که جمع آنها را به ۲ میلیارد دلار می‌رساند.

پیامدهای این اتفاقات متوالی در زمینه هک، درباره خطرات رمزارزها و سرمایه‌های غیرمتمرکز به ما چیزهای زیادی می‌آموزد.
 

آیا مشتریان پولشان را پس می‌گیرند؟

شبکه رونین می‌گوید: "با مقام‌های مجری قانون، کارآگاهان رمزنگار و سرمایه‌گذاران‌مان مشغول کار هستیم تا اطمینان حاصل کنیم تمام سرمایه‌ها قابل بازیابی و پس‌دادن است."

این شرکت ابتدا یک بیانیه در حساب ساب‌استک (پلتفرم خبرنامه‌ای) خود، منتشر کرد و سپس وب‌سایتش را آف‌لاین کرد.

همچنین در شبکه‌های اجتماعی امکان نظردادن در زیر یادداشت‌های این شرکت برداشته شده است.

شرکت بعدا در پاسخ به سوال بی‌بی‌سی گفت که "متعهد" است سرمایه مشتریان را بازگرداند اما تضمین نمی‌دهد.

دان ریان می‌گوید: "من به بخش خدمات مشتریان زنگ نزدم چون می‌دانم که بی‌فایده است."

او با دلسوزی توضیح می‌دهد: "فقط منتظر می‌مانم از آنها خبری بشنوم که آیا مشکل حل می‌شود و چه وقت می‌توانم اتریوم‌ خود را بیرون بیاورم. شرکت‌های رمزارز مانند شرکت‌های معمولی نیستند و مثل آنها کار نمی‌کنند."

شرکت رونین هنوز به مشتریانش نگفته که چه اتفاقی برای سرمایه‌هایشان افتاده و چه زمانی ممکن است پول خود را پس بگیرند.

در بیشتر موارد هک رمزارزی، مشتریان به طریقی سرمایه خود را پس گرفته‌اند، اما این ممکن است ماه‌ها یا سال‌ها طول بکشد.

دیوید کانلیس، کارشناس رمزارز از سایت پروتوس می‌گوید ارتباط مستقیم با شرکت‌های رمزارز بسیار ضعیف است.

او می‌گوید: "وقتی با نهادهایی سر و کار دارید که بیش از نیم میلیارد دلار را مدیریت می‌کنند، انتظار دارید راه‌های ارتباطی بازتر و ساده‌تر باشد؛ مخصوصا وقتی که چنین نقص امنیتی‌ای در زمینه هک اتفاق افتاده باشد."

آقای کانلیس اضافه می‌کند: "اما از آن سو، یکی از اصول اکوسیستم این است که هر کسی می‌تواند پروژه خود را راه‌اندازی کند و نباید مانعی برای این کار وجود داشته باشد."
 

چطور اتفاق افتاد؟

شبکه رونین می‌گوید که هک در نوامبر ۲۰۲۱ و زمانی شروع شد که تعداد کاربران اکسی اینفینیتی به حجمی غیرقابل کنترل رسید.

این شرکت می‌گوید هجوم بازیکنان باعث "فشار بسیار شدید" بر سیستم شد و برای جوابگویی به این میزان تقاضا، لایه‌های امنیتی شل‌تر شد.

به گفته این شرکت فشارها در ماه دسامبر افول کرد اما محکم‌کردن لایه‌های امنیتی به فراموشی سپرده شد و هکرها از باز گذاشتن دروازه پشتی سوءاستفاده کردند.

فرانسس کاپولا، نویسنده و اقتصاددان، می‌گوید:‌ "این اتفاقی رایج در شرکت‌های رمزارز است. ما شاهد هک‌ها و سوءاستفاده‌های بسیار بوده‌ایم که اگر بخواهم صریح بگویم، ناشی از بی‌احتیاطی و بی‌توجهی به امنیت سرمایه‌های مردم بوده است."

"شرکت‌های رمزنگاری گاهی اوقات آنقدر مشتاق هستند 'پول قلمبه' بسازند یا صرفا هجوم تقاضاها را جواب دهند که کدهایی با طراحی بد و آزمون نشده را منتشر می‌کنند، موارد امنیتی را نادیده می‌گیرند یا بیش از حد به زیرساخت‌ها اتکا می‌کنند."
 

بزرگ‌ترین هک‌های تاریخ رمزارز

بر اساس داده‌های شرکت الیپتیک که یک شرکت تحلیل رمزارز است، پنج هک بزرگ بر اساس ارزش دلاری آن در زمان هک به این ترتیب هستند:

۳۲۵ میلیون دلار- ورم‌هول، فوریه ۲۰۲۲

۴۷۰ میلیون دلار- ام‌تی گاکس،‌ فوریه ۲۰۱۴

۵۳۲ میلیون دلار، کوین‌چک، ژانویه ۲۰۱۸

۵۴۰ میلیون دلار، رونین بریج، مارس ۲۰۲۲

۶۱۱ میلیون دلار، پولی نتورک، اوت ۲۰۲۱
 

چرا این اتفاق تکرار می‌شود؟

کارشناسان می‌گویند کریپتوکارنسی یا رمزارزها مانند میوه‌های شاخه‌های پایین درخت برای هکرها در دسترس هستند.

تام رابینسون از شرکت تحلیلی الیپتیک می‌گوید شرکت‌های رمزارز "برای هکرها هانی‌پات‌های عظیم" هستند.

او توضیح می‌دهد: "تراکنش‌های رمزی (یا کریپتو) بازگشت‌ناپذیر هستند. بنابراین اگر هکری دستش به آن برسد، بسیار سخت است که کسی بتواند آن را پس بگیرد."

آقای رابینسون می‌گوید این کار همچنین برای هکرها بسیار جذاب است چون سود زیادی دارد؛ بدون آنکه دردسرهای اضافی جرایم سایبری دیگر مانند باج‌افزار را داشته باشد که مجرمان در آن مجبور می‌شوند با شرکت‌هایی که هک شده‌اند، مذاکره کنند.

مشخص نیست چه کسی پشت این هک اخیر بوده اما ممکن است فقط یک مجرم سایبری نباشد که به دنبال پیدا کردن پول برای خودش است. برای مثال، در گذشته شماری از هکر‌های مورد حمایت دولت‌ها هم پشت بعضی از سرقت‌های رمزارز بوده‌اند.

به گزارش محققان رمزارز شرکت 'چینآنالیست'، هکرهای کره شمالی پارسال در دست‌کم هفت مورد حمله به پلتفرم‌های رمزارزی حدود ۴۰۰ میلیون دلار دزدیده‌اند.