هزاران نفر، اگر نگوییم میلیونها، در دومین هک بزرگ در تاریخ رمزارزها، زیان دیده و پول از دست دادهاند.
هکرها از شبکه رونین، پلتفرم کلیدی که در آن بازی پرطرفدار اکسی اینفینیتی انجام میشود، ۶۱۵ میلیون دلار دزدیدهاند.
دان ریان، جوان ۲۰ ساله اهل ویلتشایر انگلستان یکی از زیاندیدگان است. او به بیبیسی گفت: “من ۰.۱۵ اتریوم (یک نوع ارز دیجیتال) از دست دادم که حدود ۵۰۰ دلار است. اتفاق بدی است اما دوستانی دارم که در شرایط بدتر هستند.”
جک کنی یکی از آن دوستان است که میگوید: “من حدود ۱۰ هزار دلار از دست دادم.”
این شهروند ۲۳ ساله از ایرلند اضافه میکند: “فکر نمیکنم مردم اهمیت این هک را بفهمند. ۶۰۰ میلیون دلار بخش بسیار بزرگی از کل داراییها در این شبکه است.”
یک مرد دیگر از ساحل شرقی آمریکا میگوید ۸ هزار دلار از دست داده و توضیح میدهد آدمهایی هستند که وقتشان را برای بازی اکسی اینفینیتی گذاشته و پول دیجیتال جمع کردند و حالا تمام “پسانداز زندگی” خود را بر باد رفته میبینند.
در این بازی، گیمرها یا بازیکنان با حیوانات کارتونی که اکسی خوانده میشوند، مبارزه و رمزارز دیجیتال جمع میکنند.
این بازی به شدت در میان میلیونها بازیکن در سراسر جهان پرطرفدار است. افراد به امید برنده شدن و گرفتن رمزارز و جمع کردن انافتی یا ‘توکن غیر قابل تعویض’، ساعتها بازی میکنند.
مخصوصا در فیلیپین این بازی بسیار اهمیت دارد. در این کشور بازی اکسی اینفینیتی به یک کار تماموقت و بالقوه پردرآمد تبدیل شده است.
شبکه رونین که متعلق به یک شرکت ویتنامی به نام اسکای ماویس است، به بازیکنان اجازه میدهد سکههای دیجیتال را که در بازی اکسی اینفینیتی به دست میآورند با سایر رمزارزها مثل اتریوم معاوضه کنند.
این شرکت میگوید دو هفته پیش یک هکر معادل ۵۴۰ میلیون دلار رمزارز به خودش منتقل کرده است. اما شرکت اخیرا، و زمانی متوجه این موضوع شد که یکی از مشتریانش نتوانست سرمایهاش را بیرون بکشد.
ارزش مقدار رمزارز دزدیده شده از آن زمان بالاتر رفته و به ۶۱۵ میلیون دلار رسیده است.
این تازهترین سرقت از مجموعه دزدیهای رمزی در سال گذشته بوده که جمع آنها را به ۲ میلیارد دلار میرساند.
پیامدهای این اتفاقات متوالی در زمینه هک، درباره خطرات رمزارزها و سرمایههای غیرمتمرکز به ما چیزهای زیادی میآموزد.
آیا مشتریان پولشان را پس میگیرند؟
شبکه رونین میگوید: “با مقامهای مجری قانون، کارآگاهان رمزنگار و سرمایهگذارانمان مشغول کار هستیم تا اطمینان حاصل کنیم تمام سرمایهها قابل بازیابی و پسدادن است.”
این شرکت ابتدا یک بیانیه در حساب ساباستک (پلتفرم خبرنامهای) خود، منتشر کرد و سپس وبسایتش را آفلاین کرد.
همچنین در شبکههای اجتماعی امکان نظردادن در زیر یادداشتهای این شرکت برداشته شده است.
شرکت بعدا در پاسخ به سوال بیبیسی گفت که “متعهد” است سرمایه مشتریان را بازگرداند اما تضمین نمیدهد.
دان ریان میگوید: “من به بخش خدمات مشتریان زنگ نزدم چون میدانم که بیفایده است.”
او با دلسوزی توضیح میدهد: “فقط منتظر میمانم از آنها خبری بشنوم که آیا مشکل حل میشود و چه وقت میتوانم اتریوم خود را بیرون بیاورم. شرکتهای رمزارز مانند شرکتهای معمولی نیستند و مثل آنها کار نمیکنند.”
شرکت رونین هنوز به مشتریانش نگفته که چه اتفاقی برای سرمایههایشان افتاده و چه زمانی ممکن است پول خود را پس بگیرند.
در بیشتر موارد هک رمزارزی، مشتریان به طریقی سرمایه خود را پس گرفتهاند، اما این ممکن است ماهها یا سالها طول بکشد.
دیوید کانلیس، کارشناس رمزارز از سایت پروتوس میگوید ارتباط مستقیم با شرکتهای رمزارز بسیار ضعیف است.
او میگوید: “وقتی با نهادهایی سر و کار دارید که بیش از نیم میلیارد دلار را مدیریت میکنند، انتظار دارید راههای ارتباطی بازتر و سادهتر باشد؛ مخصوصا وقتی که چنین نقص امنیتیای در زمینه هک اتفاق افتاده باشد.”
آقای کانلیس اضافه میکند: “اما از آن سو، یکی از اصول اکوسیستم این است که هر کسی میتواند پروژه خود را راهاندازی کند و نباید مانعی برای این کار وجود داشته باشد.”
چطور اتفاق افتاد؟
شبکه رونین میگوید که هک در نوامبر ۲۰۲۱ و زمانی شروع شد که تعداد کاربران اکسی اینفینیتی به حجمی غیرقابل کنترل رسید.
این شرکت میگوید هجوم بازیکنان باعث “فشار بسیار شدید” بر سیستم شد و برای جوابگویی به این میزان تقاضا، لایههای امنیتی شلتر شد.
به گفته این شرکت فشارها در ماه دسامبر افول کرد اما محکمکردن لایههای امنیتی به فراموشی سپرده شد و هکرها از باز گذاشتن دروازه پشتی سوءاستفاده کردند.
فرانسس کاپولا، نویسنده و اقتصاددان، میگوید: “این اتفاقی رایج در شرکتهای رمزارز است. ما شاهد هکها و سوءاستفادههای بسیار بودهایم که اگر بخواهم صریح بگویم، ناشی از بیاحتیاطی و بیتوجهی به امنیت سرمایههای مردم بوده است.”
“شرکتهای رمزنگاری گاهی اوقات آنقدر مشتاق هستند ‘پول قلمبه’ بسازند یا صرفا هجوم تقاضاها را جواب دهند که کدهایی با طراحی بد و آزمون نشده را منتشر میکنند، موارد امنیتی را نادیده میگیرند یا بیش از حد به زیرساختها اتکا میکنند.”
بزرگترین هکهای تاریخ رمزارز
بر اساس دادههای شرکت الیپتیک که یک شرکت تحلیل رمزارز است، پنج هک بزرگ بر اساس ارزش دلاری آن در زمان هک به این ترتیب هستند:
۳۲۵ میلیون دلار- ورمهول، فوریه ۲۰۲۲
۴۷۰ میلیون دلار- امتی گاکس، فوریه ۲۰۱۴
۵۳۲ میلیون دلار، کوینچک، ژانویه ۲۰۱۸
۵۴۰ میلیون دلار، رونین بریج، مارس ۲۰۲۲
۶۱۱ میلیون دلار، پولی نتورک، اوت ۲۰۲۱
چرا این اتفاق تکرار میشود؟
کارشناسان میگویند کریپتوکارنسی یا رمزارزها مانند میوههای شاخههای پایین درخت برای هکرها در دسترس هستند.
تام رابینسون از شرکت تحلیلی الیپتیک میگوید شرکتهای رمزارز “برای هکرها هانیپاتهای عظیم” هستند.
او توضیح میدهد: “تراکنشهای رمزی (یا کریپتو) بازگشتناپذیر هستند. بنابراین اگر هکری دستش به آن برسد، بسیار سخت است که کسی بتواند آن را پس بگیرد.”
آقای رابینسون میگوید این کار همچنین برای هکرها بسیار جذاب است چون سود زیادی دارد؛ بدون آنکه دردسرهای اضافی جرایم سایبری دیگر مانند باجافزار را داشته باشد که مجرمان در آن مجبور میشوند با شرکتهایی که هک شدهاند، مذاکره کنند.
مشخص نیست چه کسی پشت این هک اخیر بوده اما ممکن است فقط یک مجرم سایبری نباشد که به دنبال پیدا کردن پول برای خودش است. برای مثال، در گذشته شماری از هکرهای مورد حمایت دولتها هم پشت بعضی از سرقتهای رمزارز بودهاند.
به گزارش محققان رمزارز شرکت ‘چینآنالیست’، هکرهای کره شمالی پارسال در دستکم هفت مورد حمله به پلتفرمهای رمزارزی حدود ۴۰۰ میلیون دلار دزدیدهاند./ ایران جیب