۱۷ میلیارد دلار در یک دهه از ارزهای دیجیتال دزدیده شد — این پول‌ها واقعاً به کجا رفتند؟

هفده میلیارد دلار رقم سرسام‌آوری از پول است که طی یک دوره ده ساله توسط هکرها از صنعت رمزارز به سرقت رفته است، طبق گزارش DefiLlama در مورد میزان سرقت شده از صنعت رمزارز از سال 2010. هر بار که این آمار را می‌خوانم، لحظه‌ای درنگ می‌کنم تا آن را درک کنم و سپس به آن دیدگاه عمیق‌تری می‌بخشم. هفده میلیارد دلار رقم بزرگی است. رقمی که از طریق روش‌های مختلف سرقت از رمزارزها مانند اکسپلویت‌ها، حملات به پل‌ها، پروتکل‌های تخلیه و هک صرافی‌ها (که برخی از آنها بسیار پیچیده‌تر از دیگران هستند) "از دست رفته"، این واقعیت را تقویت می‌کند که این صنعت با مشکل امنیتی مواجه است. آنچه تغییر کرده این است که این حوادث به طور فزاینده‌ای افزایش یافته‌اند.

چگونه این رقم شکسته می‌شود؟

سرویسی به نام DefiLlama هک‌ها را در جنبه‌های مختلف دنیای رمزارز به عنوان ابزاری برای کمک به ایجاد آگاهی در مورد این موضوع مهم صنعتی جمع‌آوری می‌کند. بر اساس داده‌های تحلیل شده توسط DefiLlama، طی ده سال گذشته 17 میلیارد دلار در جنبه‌های مختلف رمزارز هک شده است. با این حال، این مبالغ دلار به طور یکنواخت در این 10 سال توزیع نشده‌اند؛ حوادث هک قابل توجهی در بازه سه ساله 2021 تا 2023 رخ داد، زمانی که ارزش کل قفل شده در امور مالی غیرمتمرکز (DeFi) به شدت افزایش یافت، و به همان سرعت تلاش‌های هکرها نیز زیاد شد، زیرا مهاجمان تشخیص دادند که پول زیادی با تنها چند ماه ممیزی امنیتی و آزمایش در DeFi قرار گرفته است.

الگوی حملات مشابه است. بخش جدیدی از رمزارزها به سرعت جریان‌های بزرگی از سرمایه را جذب می‌کند – سریع‌تر از آنکه بتوان پول را از طریق ممیزی‌های امنیتی رسمی کد ایمن کرد، سریع‌تر از آنکه فناوری امن تولید و آزمایش شود، و سریع‌تر از آنکه کسی بتواند تست‌های استرس را به طور کامل انجام دهد تا ببیند چه اتفاقی می‌افتد وقتی 100 میلیون دلار از دارایی‌های یک فرد در داخل یک قرارداد تنها سه هفته‌ای ذخیره می‌شود. مهاجمان این ورودی‌های سریع پول را زیر نظر می‌گیرند و شروع به یافتن فرصت‌هایی می‌کنند تا بفهمند چگونه می‌توانند به آن پول نفوذ کنند.

پل‌های بین‌زنجیره‌ای (Cross-chain bridges) سابقه تمرکز حملات گسترده را دارند. در سال 2022، اکسپلویت پل Ronin منجر به از دست رفتن 625 میلیون دلار شد. اکسپلویت Wormhole 320 میلیون دلار خسارت به بار آورد و Nomad متحمل 190 میلیون دلار خسارت شد. یکی از دلایل اصلی که پل‌های بین‌زنجیره‌ای هدف جذابی برای مهاجمان بالقوه هستند این است که آنها چندین استخر بزرگ دارایی را در هر دو طرف دو زنجیره میزبان ذخیره می‌کنند – بنابراین می‌توان پل‌های بین‌زنجیره‌ای را به عنوان یک خزانه در نظر گرفت که در تقاطع دو سیستم قرار دارد؛ از این رو، تامین امنیت این تقاطع بسیار دشوار است.

آناتومی یک هک رمزارزی

روش‌های مختلفی برای سرقت رمزارز توسط هکرها وجود دارد، و جمع کردن همه آنها با هم، درک آنچه واقعاً اتفاق می‌افتد را دشوارتر می‌کند.

برخی از این هک‌ها در سطح قرارداد هوشمند اتفاق می‌افتند. در این نوع هک‌ها، مهاجم از یک نقص در نحوه کدنویسی قرارداد هوشمند سوءاستفاده می‌کند و از آن نقص برای انجام یک تراکنش مالی استفاده می‌کند که قرارداد هوشمند آن را مجاز می‌داند. حمله وام فلش (flash loan attack) نمونه‌ای از این نوع هک است. در این مورد، مهاجم می‌تواند مقدار زیادی پول قرض بگیرد و سپس، در همان تراکنش، یک اوراکل قیمت یا یک استخر نقدینگی را دستکاری کند، از تراکنش ارزش استخراج کند و وجوه قرض گرفته شده را بازگرداند. همه اینها در عرض چند ثانیه رخ می‌دهد – بدون اینکه رمز عبور دزدیده شده یا استفاده غیرمجاز از سرور وجود داشته باشد؛ تنها اتفاقی که افتاده این است که ریاضیات علیه خودش استفاده شده است.

نمونه دیگر یک حمله زمانی است که شخصی به کلید خصوصی دسترسی پیدا می‌کند که به او امکان کنترل خزانه یک پروتکل یا امضای یک پل را می‌دهد. یک مثال بارز از این مورد، هک Ronin است که در آن هکرهای تحت حمایت دولت کره شمالی کارمندان Sky Mavis (سازنده Axie Infinity) را هدف قرار دادند تا به اندازه کافی به کلیدها دسترسی پیدا کنند و وجوه پل را بدون اینکه به مدت شش روز متوجه شوند، تخلیه کنند.

این جزئیات باید مورد تأمل قرار گیرد: یک هفته کامل طول کشید تا بزرگترین هک واحد در تاریخ رمزارز شناسایی شود.

سپس هک‌های صرافی‌های متمرکز وجود دارند، مانند آنهایی که پول مشتریان را نگهداری می‌کنند. فروپاشی FTX به معنای سنتی هک نبود، اما 400 میلیون دلار که ساعاتی پس از اعلام ورشکستگی از کیف پول‌های آن برداشت شد، تقریباً به طور قطع ناشی از یک هک بود. کوه گاکس (Mt. Gox) طی چندین سال 850,000 بیت کوین را از دست داد، و هرگز نتوانست تشخیص دهد که در حین وقوع هک چه اتفاقی می‌افتد.

چه کسانی در حال سرقت هستند؟

بسیاری از مهم‌ترین هک‌هایی که رخ می‌دهند، فرصت‌طلبی تصادفی نیستند. گروه لازاروس کره شمالی مسئول میلیاردها دلار رمزارز سرقت شده از چندین عملیات شناخته شده است. دولت ایالات متحده آدرس‌های کیف پول مختلفی را که با آنها مرتبط هستند تحریم کرده است، و تعدادی از شرکت‌های تحلیل بلاکچین حرکت این دارایی‌ها را در مجموعه‌ای از سیستم‌های پولشویی به طور فزاینده‌ای پیچیده (میکسرها، پرش‌های زنجیره‌ای و از طریق کارگزاران مستقر در حوزه‌های قضایی با مقررات ضعیف) ردیابی کرده‌اند.

سرقت رمزارز در این سطح به منبع درآمدی برای یک دولت-ملت تحت تحریم رسمی تبدیل شده است. این حرف عجیبی است، اما شواهد زیادی از سوی سازمان‌های تحقیقاتی مستقل متعدد این موضوع را تأیید می‌کند.

سایر هک‌ها معمولاً توسط هکرهای کمتر پیچیده انجام می‌شوند (مانند توسعه‌دهندگانی که پروتکل‌های ممیزی نشده را پیدا می‌کنند، تیم‌هایی که سعی در رقابت با یکدیگر دارند، افرادی که از کاربران فردی فیشینگ می‌کنند).

آنچه صنعت درست کرده و نکرده است

در دنیای امروز، ممیزی‌های امنیتی اکنون به عنوان یک رویه استاندارد در هر راه‌اندازی پروتکل جدی انجام می‌شود. برنامه‌های پاداش باگ (Bug bounty programs) راهی برای محققان است تا برای کشف آسیب‌پذیری‌ها قبل از هکرها، پاداشی مشروع دریافت کنند. بسیاری از پل‌ها اکنون از تنظیمات اعتبارسنجی غیرمتمرکزتری استفاده می‌کنند تا خطر یک نقطه شکست واحد را کاهش دهند.

با وجود این تلاش‌ها، هک‌ها با فرکانسی بی‌سابقه همچنان ادامه دارند. در حالی که تلاش‌هایی برای کاهش فرکانس حوادث فاجعه‌بار واحد انجام شده است، کل خسارات تجمعی همچنان در حال افزایش است.

واقعیت این است که بسیاری از اجزای زیرساخت رمزارز به عنوان محصولات عجولانه ساخته شده توسط تیم‌های کوچک، با عجله رقابتی برای به گردش درآوردن پول، بدون داشتن زمان کافی برای بررسی کامل سناریوهای "چه می‌شود اگر" از دیدگاه مهاجمی که زمان نامحدود و منابع مالی بی‌پایانی در اختیار دارد، آغاز شدند.

این محیط در دهه گذشته بیش از 17 میلیارد دلار برای صنعت هزینه در بر داشته است. نتیجه دهه آینده به این بستگی دارد که آیا صنعت با موفقیت از آن اشتباهات درس گرفته است، یا صرفاً در ثبت گزارش‌های پس از حادثه (post-mortems) بهتر شده است.