کره شمالی، NFT ها و یک بازی ویدیویی موفق: داخل یک سرقت 500 میلیون دلاری ارز دیجیتال | بلاک چین

Lدر ماه گذشته، هکرها با چیزی که در آن زمان بیش از 500 میلیون دلار ارزش داشت، از سیستم‌های شبکه ارزهای دیجیتال رونین استفاده کردند که گمان می‌رود دومین سرقت بزرگ ارز دیجیتال در تاریخ باشد.

رونین یک هدف آبدار برای یک هکر بود. پروژه بلاک چین از بازی ویدیویی بسیار محبوب Axie Infinity پشتیبانی می کند که با تخمینی ۸ میلیون بازیکن با بازی های جمع آوری اکشن مانند Pokémon Go مقایسه شده است.

Axie Infinity داغ است و شامل مبالغ قابل توجهی پول است. بازیکنان موجوداتی به نام Axies را در قالب NFT می خرند، دارایی های دیجیتالی منحصر به فردی که به عنوان توکن های غیر قابل تعویض شناخته می شوند. این موجودات می توانند تولید مثل کنند، بجنگند و حتی با پول نقد سرد و سخت مبادله شوند.

محبوبیت بازی افزایش یافته است زیرا بازیکنان پتانسیل کسب درآمد واقعی را می بینند. در سال 2020، یک بازیکن 22 ساله از فیلیپین گزارش شده است که با درآمد خود از این بازی، دو آپارتمان در مانیل خریداری کرده است. سال گذشته، بازیکن دیگری گفت که از طریق Axie Infinity و سایر بازی های آنلاین بیشتر از شغل تمام وقت خود در گلدمن ساکس درآمد کسب کرده است.

اما پایه های بازی با چالش های امنیتی قابل توجهی روبرو هستند. برای بازی، گیمرها باید پول خود را از اتریوم به رونین در یک سیستم «پل» بلاک چین منتقل کنند. رونین یک «زنجیره جانبی» اتریوم است – یک راه‌حل مقیاس‌پذیری که اجازه می‌دهد تراکنش‌ها سریع‌تر از اتریوم انجام شوند، اتریوم که به دلیل میزان فعالیتی که میزبانی می‌کند شلوغ است. میزبانی بازی در این زنجیره جانبی تضمین می کند که بدون از دست دادن عملکرد، رشد می کند. پل‌ها می‌توانند پول زیادی را به‌طور هم‌زمان نگه دارند، بنابراین با هدف قرار دادن پل رونین که دارایی‌های بازیکنان را بین بلاک‌چین‌ها منتقل می‌کرد، هکرها کنترل دارایی‌ها را در دست گرفتند و با پول از آن خارج شدند.

دولت آمریکا این هفته گفت که معتقد است هکرهای کره شمالی پشت این سرقت هستند. اما این تازه‌ترین مورد در یک رشته دزدی‌های وقیحانه ارزهای دیجیتال است. در سال 2018، بیش از 530 میلیون دلار از صرافی رمزارز Coincheck به سرقت رفت. در ماه فوریه، هکرها با 320 میلیون دلار از پلتفرم مالی غیرمتمرکز Wormhole به جیب زدند (اگرچه این غارت در نهایت بازگردانده شد). و در همان ماه، شاید در تبلیغاتی ترین سرقت سایبری سال، دادستان ها زوج عجیب و غریب ایلیا «هلندی» لیختنشتاین و همسرش، هدر مورگان، را که به خاطر رپ های وحشتناکش در TikTok تحت نام رازلخان شناخته می شود، به دسیسه متهم کردند. میلیاردها دلار بیت کوین به سرقت رفته از صرافی بیت فینکس در سال 2016 را بشویید.

این یک روند است. بر اساس گزارش جرایم رمزنگاری توسط Chainalysis، شرکتی که داده ها و تجزیه و تحلیل بلاک چین را به بانک ها، دولت ها و سایر مشاغل ارائه می دهد، در سال 2021، 3.2 میلیارد دلار ارز دیجیتال از افراد و خدمات به سرقت رفت. (بر اساس گزارش رویترز، رونین همچنین با Chainalysis برای ردیابی وجوه دزدیده شده در هک کار می کند.) این رقم تقریباً شش برابر مقدار سرقت شده در سال 2020 است. طبق گفته کارشناسان، تا کنون در سال جاری، بیش از 1 میلیارد دلار قبلاً سرقت شده است. در Chainalysis و سایر شرکت های امنیتی.

آسیب پذیری در قراردادهای هوشمند

هک‌های پرمخاطب و مبالغ قابل‌توجهی پول، سؤالاتی را در مورد میزان آسیب‌پذیری زنجیره بلوکی – که مدت‌ها مکانی امن برای ذخیره دارایی‌ها محسوب می‌شد – در برابر چنین نقض‌هایی ایجاد کرده است.

برخی از کارشناسان می‌گویند افزایش گزارش‌های مربوط به سرقت رمزنگاری به دلیل استفاده گسترده‌تر از ارزهای دیجیتال و درک بهتر از قبل است.

نیکلاس کریستین، دانشیار دانشگاه کارنگی ملون که در مورد جرایم آنلاین و امنیت رایانه و شبکه تحقیق می کند، گفت: «شما اساساً پول زیادی روی میز دارید، و روی یک میز بسیار عمومی. با وجود مبالغ هنگفتی که به صورت عمومی در این سیستم‌های شفاف جابجا می‌شود، می‌تواند برای هکرها اغواکننده باشد.

کارشناسان می‌گویند برای درک اینکه چگونه این سرقت‌ها ممکن است، تمایز بین بلاک چین و سایر برنامه‌هایی که در بالای آن عمل می‌کنند، مهم است. بلاک چین خود یک دفتر کل عمومی غیرمتمرکز است که امکان تراکنش های همتا به همتا را فراهم می کند. این لایه پایه ای است که بیت کوین، اتریوم یا سولانا بر روی آن ساخته شده اند.

لایه دوم – لایه ای که اغلب مورد سوء استفاده قرار می گیرد – قراردادهای هوشمندی هستند که روی بلاک چین اجرا می شوند. قراردادهای هوشمند قراردادهایی در کد هستند که با رعایت شرایط قرارداد به طور خودکار اجرا می شوند. تشابه رایج به یک دستگاه فروش دیجیتالی است – یک محصول را انتخاب کنید، مقدار صحیح پول را وارد کنید، و کالای شما به طور خودکار توزیع می شود. این قراردادها برگشت ناپذیر هستند.

کریستین توضیح داد که هکرها از طریق این سیستم های لایه دوم یا با استفاده از اشکالات موجود در کد، یا در دست گرفتن کلیدهای خصوصی که به آنها اجازه ورود به سیستم را می دهد، راه خود را به پول می رسانند. برخی از هکرها حتی قراردادهای هوشمند را زیر پا می گذارند تا وجوه را به دست خود هدایت کنند.

در هک Axie Infinity، که پل رونین را هدف قرار داد، هکر کلید خصوصی کافی برای کنترل پل و تخلیه وجوه به دست آورد. از آنجایی که بسیاری از کاربران دارایی های خود را در این پل داشتند، پرداخت بسیار زیاد بود.

Ronghui Gu، بنیانگذار و مدیر عامل شرکت امنیتی بلاکچین Certik گفت: پروتکل بلاک چین ایمن است. اما برنامه‌ها – قراردادهای هوشمند – که در بالای آن‌ها اجرا می‌شوند همچنان مانند سایر برنامه‌های عادی هستند که می‌توانند دارای اشکالات و آسیب‌پذیری‌های نرم‌افزاری باشند.

معمولاً هکرها سعی می کنند از کد یکی از اهداف خود سوء استفاده کنند. و این کمک می کند که بسیاری از کدهای برنامه های بلاک چین منبع باز باشد و به راحتی برای هکرهایی که می خواهند کد را جستجو کرده و باگ های احتمالی را پیدا کنند، قابل دسترسی است.

گو گفت: “در این دنیا مردم می گویند “به کد ما اعتماد داریم”، اما خود رمز در واقع آنقدرها قابل اعتماد نیست. گو توضیح داد زمانی که او شرکت امنیتی بلاک چین خود را در سال 2018 راه اندازی کرد، تنها چند شرکت از خدمات امنیتی شخص ثالث مانند او برای ممیزی و ارزیابی کد خود استفاده کردند – یک پشتیبان امنیتی حیاتی – اما او مشاهده کرد که این تعداد به تدریج افزایش می یابد.

صرافی های کریپتو نیز اهداف اصلی هک هستند. صرافی ها مانند بانک ها هستند، آنها نهادهای مرکزی هستند که مقادیر انبوهی از پول کاربران خود را در اختیار دارند و تراکنش ها برگشت ناپذیر است. مانند پل ها، آنها یک برنامه واسطه هستند که تمایل دارند هدف قرار گیرند. کریستین گفت: «این صرافی های بزرگ هدف بزرگی در پشت خود دارند.

قربانیان با بار امنیتی بزرگ

هنگامی که دارایی‌های رمزنگاری به سرقت می‌روند، می‌تواند برای سارقان چالشی برای پول نقد باشد، به خصوص اگر سرقت در محدوده 9 رقمی باشد. این بدان معناست که وجوه اغلب برای سال ها یا حتی برای مدت نامحدود در هاله ای از ابهام قرار می گیرند. در طی آن زمان، ارزش وجوه دزدیده شده به دلیل ماهیت بی ثبات بازار کریپتو می تواند در نوسان باشد.

گزارش جرایم رمزنگاری Chainalysis تخمین می‌زند که مجرمان در حال حاضر حداقل 10 میلیارد دلار ارز دیجیتال در اختیار دارند که اکثریت قریب به اتفاق آن از طریق سرقت به دست می‌آید. به لطف شفافیت در بلاک چین، ردیابی این تراکنش‌ها و دارایی‌ها امکان‌پذیر است، اما شناسایی هویت عامل تا زمانی که وجوه نقد نشده است، دشوار است.

می توان به رسوایی Bitfinex به عنوان یک مطالعه موردی در تلاش برای شویی نگاه کرد. وجوه برای مدت بسیار طولانی جابجا نشد. کیم گرائر، مدیر تحقیقات Chainalysis، گفت: و زمانی که آنها سعی کردند فرآیند شویی را آغاز کنند، این فرصتی برای مجریان قانون بود تا دوباره درگیر شوند، زیرا مردم این هک ها را دنبال می کنند.

برای قربانیان این طرح ها، راه های کمی برای بازیابی دارایی ها وجود دارد. اتان هیلمن، کارشناس امنیت سایبری و یکی از بنیانگذاران سرویس ابری BastionZero، می گوید: «اگر امنیت بانکی از کار بیفتد، برای بانک چندان بد نیست. اما اگر شما یک صرافی ارز دیجیتال هستید و کسی تمام ارزهای دیجیتال شما را خالی می کند، واقعا برای شما بد است. بانک ها اقداماتی را برای محافظت از مشتریان خود در نظر گرفته اند که بلاک چین فاقد آن است. اگر کارت اعتباری شخصی دزدیده شود، بیمه نامه تضمین می کند که شخص معمولاً آن پول را پس می گیرد. با این حال، در بلاک چین، تراکنش‌ها برگشت‌ناپذیر هستند – دکمه لغو وجود ندارد.

این بدان معناست که بار امنیتی فوق‌العاده‌ای بر دوش کاربران فردی برای ایمن نگه داشتن دارایی‌هایشان وجود دارد. کریستین گفت: «کاربران نهایی ممکن است لزوماً از خطرات امنیتی که متحمل می شوند آگاه نباشند. کاملاً صادقانه بگویم، حتی افراد در این زمینه هم وقت لازم را ندارند که لزوماً بروند و کد منبع قرارداد هوشمند را بررسی کنند.

اگر کسی کلیدهای خود را به واسطه لایه دوم اشتباهی بسپارد، ممکن است قربانی دزدی شود. در مجموع، بیشتر آنها به این مسئولیت عادت ندارند.

Heilman گفت که شرکت‌های رمزنگاری شروع به جدی‌تر شدن در مورد امنیت کرده‌اند، اما دنیای بدون هک واقع بینانه نیست. او گفت: “شما هرگز امن نمی شوید، بلکه امن تر می شوید.” بنابراین با توجه به سهولت کسب درآمد از آسیب‌پذیری در یکی از این سیستم‌ها، من فکر می‌کنم که این احتمال وجود دارد که همچنان شاهد هک شدن چیزها باشیم، و این سوال این نیست که آیا هک جدیدی در این ماه وجود دارد؟ این خواهد بود: “هک ها در این ماه چقدر تکرار می شوند؟”

گرائر گفت: «چیزهای مهمی وجود دارد که صنعت باید بر آنها غلبه کند تا واقعاً رشد کند و بزرگ شود، زیرا اگر همه از هک شدن هراس داشته باشند، نمی‌توانید یک صنعت در حال رشد سالم داشته باشید.»