هک و اکسپلویت ارزهای دیجیتال | بررسی تاریخچه بدترین هک ها و حملات به کریپتو

به دلیل هک و اکسپلویت ارزهای دیجیتال در سال ۲۰۲۲، دارندگان رمزارزها و توسعه‌دهندگان پروژه‌های ارز دیجیتال متحمل ضررهای بزرگی شدند که این ضررها تا مرز ۲.۸ میلیون دلار نیز رسید.

اگرچه بازار ارزهای دیجیتال در زمستان کریپتو در سال ۲۰۲۲ به‌شدت ضربه خورد و با افت قیمتی شدیدی روبه‌رو شد، اما هک‌ها و سوءاستفاده‌ها برای این صنعت بسیار گران تمام شد به‌طوری که منجر به از دست رفتن ۲.۷۷ میلیارد دلار از سرمایه کاربران ارزهای دیجیتال شد.

این ضرر ۲.۷۷ میلیارد دلاری، بیشترین مقدار پولی بود که از سال ۲۰۱۳ به‌بعد مورد سرقت قرار گرفت. رتبه اول در میزان سرقت ارزهای دیجیتال مربوط به سال ۲۰۱۲ است که در طی آن یک هکر توانست بیش از ۵۰ هزار بیت کوین به ارزش ۳.۳۶ میلیارد دلار را از طریق وب‌سایت جاده ابریشم (Silk Road Hack) به سرقت ببرد.

در سال ۲۰۲۱ نیز هکرها با ایجاد تبلیغات فریبنده درمورد ارزهای دیجیتال موفق به هک ۲.۶۶ میلیارد دلار شدند. این آمار نشان می‌دهد که در سال ۲۰۲۲، ضرر و زیان ناشی از هک‌های مهاجمان ۴.۲٪ نسبت به سال قبل رشد کرده است.

با بررسی تاریخچه رویدادهای ارزهای دیجیتال، الگوی مشابهی در ضررهای به بار آمده در زمستان‌های کریپتو مشاهده می‌شود. به‌عنوان مثال در اولین زمستان بازار رمزارزها در سال ۲۰۱۸، هک و اکسپلویت ارزهای دیجیتال باعث ضرر ۱.۳ میلیارد دلاری شد که نسبت به سال قبل خود با افزایش ۲۵۶.۷ درصدی همراه بود.

هک و اکسپلویت ارزهای دیجیتال به چه معناست؟

هک‌ و اکسپلویت‌ ارزهای دیجیتال به حملاتی گفته می‌شود که در آن هکرها از نواقص، باگ‌ها و آسیب‌پذیری‌های موجود در کدها یا سیستم‌ها استفاده می‌کنند تا بتوانند کوین‌ها و یا توکن‌های ارز دیجیتال کاربران را به سرقت ببرند. معمولا به این افراد و گروه‌ها هکر گفته می‌شود.

در نتیجه‌ی اقدامات هکرها، دارندگان و خالقان پروژه‌های ارز دیجیتال متحمل ضررهای سنگینی می‌شوند که ممکن است قابل‌بازیابی یا برگرداندن نباشند.

روش‌های مختلفی برای هک و اکسپلویت ارزهای دیجیتال وجود دارد؛ از جمله:

• کنترل دسترسی (Access Control)
• حملات وام فلش (Flash Loan Attacks)
• حملات ورود مجدد (Reentrancy Attack)
• مشکلات و ضعف‌های اوراکل (Oracle Issues)
• فیشینگ (Phishing) و غیره. (در انتهای مطلب به توضیح هر یک به‌صورت مختصر می‌پردازیم.)

دیفای (DeFi) مورد حمله شدید هک‌ها و اکسپلویت‌های غیرمتمرکز

در تابستان سال ۲۰۲۰، معرفی مکانیزمی به نام کشت سود یا “Yield Farming” منجر به محبوبیت دیفای (DeFi) در میان کاربران شد. استفاده از این روش به افراد امکان می‌دهد تا با ارائه ارزهای دیجیتال خود، برای تامین نقدینگی استخرهای دیفای، ارز دیجیتال را به‌عنوان دریافت کنند.

در این زمان سرمایه‌گذاران سرمایه خود را به امید کسب سودهای بیشتر به پروتکل‌های دیفای واریز کردند و این اقدام توجه هکرها را به خود جلب کرد.

بنابراین در سه ماهه سوم همان سال، مجموع مبالغ سرقت‌شده از دیفای به بالاترین میزان خود در سال رسید و هکرها حدود ۰.۳۳ میلیارد دلار سرمایه به جیب زدند.

البته سال ۲۰۲۰ نقطه شروعی برای هکرها بود زیرا قبل از آن هکرها تنها پروتکل‌های متمرکز مانند صرافی‌های ارز دیجیتال متمرکز را هدف قرار می‌دادند اما از سال ۲۰۲۰ به بعد بیشتر این سوءاستفاده‌ها در شبکه‌های غیرمتمرکز انجام می‌گرفت.

رشد حملات هکرها به بازار کریپتو از نیمه دوم سال ۲۰۲۱

آمارها نشان می‌دهند در زمان چرخه‌های صعودی بازار ارزهای دیجیتال، روند میزان وجوه هک‌شده نیز افزایش می‌یابد. به‌عنوان مثال در سه ماهه دوم سال ۲۰۲۱ آمار میزان سرمایه‌های به‌سرقت‌رفته توسط هکرها با جهش ۳۵۷.۲٪ به ۰.۴۷ میلیارد دلار رسید. با تبلیغات جذاب و عوام‌فریبانه در میان کاربران، زیان‌های ناشی از هک‌ها در ماه‌های بعد همچنان افزایش یافت به‌طوری که در سه‌ماهه اول سال ۲۰۲۲، درحالی‌که بازار کریپتو در اوج خود قرار داشت، میزان ضررها به ۱.۲۶ میلیارد دلار رسید.

با اصلاح قیمتی و سقوط بازار کریپتو، میزان هک‌ها نیز کاهش یافت و به ۰.۴۰ میلیارد دلار در سه‌ماهه آخر سال گذشته رسید.

با نگاهی به تاریخچه هک‌هایی که در بازار ارزهای دیجیتال اتفاق افتاده است، می‌توان گفت زمانی که بازار، خرسی (نزولی) می‌شود، هکرهای رمزارزها تمایل کمتری به حمله و هک به این بازار از خود نشان می‌دهند درحالی‌که زمانی که قیمت‌ها رو به رشد است آمار اکسپلویت‌ها و هک ارزهای دیجیتال به‌طور مداوم روند افزایشی به خود می‌گیرد.

این الگو شبیه به همبستگی میان تامین مالی و چرخه‌های بازار در کریپتو است که در آن با شروع زمستان ارزهای دیجیتال (سال ۲۰۲۲)، میزان تزریق پول به این بازار توسط سرمایه‌گذاران، موسسات مالی و … به‌طور متوالی کاهش می‌یابد و در مقابل در زمان صعود و افزایش قیمت ارزهای دیجیتال، کاربران تمایل بیشتری نسبت به سرمایه‌گذاری در این بازار دارند.

روش های هک و اکسپلویت ارزهای دیجیتال

• کنترل دسترسی (Access Control): کنترل دسترسی یک روش امنیتی است که محدودیت‌های دسترسی به اطلاعات حساس و مهم را برای کاربران تعیین می‌کند. در صورتی که این روش امنیتی به درستی بر روی دستگاه یا حساب کاربر پیاده‌سازی نشوند، هکرها می‌توانند به اطلاعات حساس دسترسی پیدا کنند و آن‌ها را به نفع خودشان به کار ببرند.

• حملات فلش لون (flash loan attacks): این نوع حملات با استفاده از قابلیت‌های وام فوری در برخی از پلتفرم‌های دیفای انجام می‌شود. در این روش هکرها از یک فلش لون استفاده می‌کنند تا به‌صورت موقت به‌عنوان یک سرمایه‌گذار شناخته شوند و با استفاده از آن سرمایه سعی می‌کنند سیستم را به چالش بکشند و از آن سوء‌استفاده کنند. به عبارت دیگر، هکرها با استفاده از فلش لون، تلاش می‌کنند تا به صورت نامحسوس و با کمترین هزینه، سیستم را هک کنند و سرمایه‌گذاران را در برابر خسارت‌های جدی قرار دهند.

• حمله Reentrancy Attack: در این نوع حمله با استفاده از یک تابع درون یک قرارداد هوشمند، به‌صورت متوالی یک کد مخرب به آن قرارداد هوشمند وارد می‌شود و درنهایت هکر می‌تواند به‌صورت نامحسوس، دارایی سرمایه‌گذاران را دزدیده و خسارت بزرگی را به آن‌ها وارد کند.

• معضل اوراکل (Oracle Issue): این معضل در قراردادهای هوشمند ارزهای دیجیتال رخ می‌دهد؛ به‌این صورت که یک قرارداد هوشمند نمی‌تواند به‌صورت مستقیم با داده‌های خارجی ارتباط برقرار کند و در نتیجه نیاز به یک اوراکل دارد. در این زمان هکر می‌تواند با تغییر داده‌های ارسالی به اوراکل، به سیستم دسترسی پیدا کند و از آن استفاده کند.

• فیشینگ (Phishing): فیشینگ یکی از روش‌های حملات سایبری است که در آن، هکر با استفاده از روش‌هایی مانند ارسال ایمیل‌های تقلبی یا ساخت سایت‌های تقلبی، سعی می‌کند اطلاعات شخصی و حساس کاربران را به دست آورد و از آن‌ها به نفع خود استفاده کند. در حملات فیشینگ، هکر معمولاً به صورت نامحسوس و با استفاده از فریب و تزویر، سعی می‌کند تا به اطلاعات شخصی کاربران دسترسی پیدا کند.

چگونه از هک و اکسپلویت ارزهای دیجیتال در امان بمانیم؟

برای جلوگیری از حملات هکرها و اکسپلویت‌ها می‌توانید از برخی روش‌های کاربردی که در ادامه ارائه می‌شود استفاده کنید:

استفاده از کیف پول‌های امن: برای انتخاب یک کیف پول ارز دیجیتال باید به مواردی مانند امنیت، سرعت و رابط کاربری آسان، کوین‌های پشتیبانی‌شده، نحوه کارکرد آن (آنلاین یا آفلاین بودن آن)، قابلیت آسان برای تعویض کیف پول (درصورت نارضایتی از کیف پول) توجه کنید.

انتخاب قرارداد‌های هوشمند معتبر: در انتخاب قرارداد هوشمند، به مواردی مانند تاریخچه و شناسایی توسعه‌دهندگان، کاربرد قرارداد هوشمند، محل‌ذخیره‌سازی توجه کنید.

استفاده از رمز عبور قوی و پیچیده: رمز عبور شما باید شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص باشد.

تحقیق و بررسی کامل قبل از سرمایه‌گذاری: قبل از سرمایه‌گذاری در یک ارز دیجیتال، بهتر است تحقیقات دقیقی در مورد آن انجام دهید و از معتبر بودن آن اطمینان حاصل کنید. همچنین، بهتر است فقط در پروژه‌هایی سرمایه‌گذاری کنید که توسط تیم‌های معتبر و با تجربه توسعه داده شده‌اند.

بروزرسانی مداوم: بروزرسانی‌ها عموماً شامل رفع نقص‌های امنیتی و بهبود امنیت سیستم هستند، بنابراین هربار با دریافت پیام آپدیت حتما اپلیکیشن‌های خود را به‌روز کنید.

استفاده از کد دو عاملی (2FA): با فعال‌سازی 2FA، برای ورود به حساب کاربری خود، علاوه بر رمز عبور، باید یک کد اضافی هم وارد کنید که به شما توسط تلفن همراه یا ایمیل ارسال می‌شود. استفاده از این کد موجب بالا رفتن امنیت حساب‌های شما می‌شود.

خلاصه مطلب ـ هک و اکسپلویت ارزهای دیجیتال

در صنعت کریپتو، هک‌ و اکسپلویت‌ به حملاتی گفته می‌شود که در آن هکرها از نواقص، باگ‌ها و آسیب‌پذیری‌های موجود در کدها یا سیستم‌ها استفاده می‌کنند تا بتوانند کوین‌ها و یا توکن‌های ارز دیجیتال کاربران را به سرقت ببرند.

بزرگترین هک در دنیای کریپتو مربوط به سال ۲۰۱۲ است که یک هکر توانست بیش از ۵۰ هزار بیت کوین به ارزش ۳.۳۶ میلیارد دلار را از طریق وب‌سایت جاده ابریشم به سرقت برده بود.

با نگاهی به تاریخچه هک‌هایی که در بازار ارزهای دیجیتال اتفاق افتاده است، می‌توان گفت زمانی که بازار، خرسی (نزولی) می‌شود، هکرهای کریپتو تمایل کمتری به حمله از خود نشان می‌دهند درحالیکه زمانی که قیمت‌ها رو به رشد است آمار اکسپلویت‌ها و هک ارزهای دیجیتال به‌طور مداوم روند افزایشی به خود می‌گیرد.

تاکنون هک‌ها و حملات زیادی به بازار ارزهای دیجیتال شده است و روش‌های مختلفی برای آن وجود دارد که برخی از آن‌ها عبارتند از:

• کنترل دسترسی (Access Control)
• حملات فلش لون (Flash Loan Attacks)
• حمله ورود مجدد (Reentrancy Attack)
• معضل اوراکل (Oracle Issue)
• فیشینگ (Phishing)

برای جلوگیری از قرار گرفتن در معرض هک و اکسپلویت ارزهای دیجیتال می‌توان برخی از اقدامات امنیتی زیر استفاده کرد:

• استفاده از کیف پول‌های امن
• انتخاب قراردادهای هوشمند معتبر
• استفاده از رمزعبورهای قوی و پیچیده
• تحقیق و بررسی کامل قبل از سرمایه‌گذاری
• به‌روزرسانی مداوم
• استفاده از کد دو عاملی (2FA)

سوالات متداول هک و اسپلویت ارزهای دیجیتال