در سال ۲۰۲۲، هکرها در برخی از بزرگترین سرقت‌های کریپتو نقش داشتند و از روش‌های متنوع و غیرمتعارفی استفاده کردند که در ادامه به هریک از این موارد می‌پردازیم.

مفهوم هک و سوءاستفاده در ارزهای دیجیتال چیست؟

در صنعت کریپتو، هک و سوءاستفاده‌ به حملاتی اطلاق می‌شود که از آسیب‌پذیری‌ها و نقص‌های موجود در هر کد یا سیستم برای سرقت سکه‌ها یا توکن‌های ارزهای دیجیتال استفاده می‌کنند. معمولاً به افراد یا گروه‌هایی که روش‌های هک و سوءاستفاده را به کار می‌برند، «هکر» می‌گویند. در نتیجه چنین اقداماتی، سرمایه‌داران و پروژه‌های ارزهای دیجیتال متحمل ضررهایی در وجوه خود می‌شوند که ممکن است قابل بازیابی نباشد.

بزرگ‌ترین سرقت‌های سال ۲۰۲۲

• حمله کرم‌چاله (Wormhole Hack) در فوریه ۲۰۲۲: هکرها دومین سوء استفاده بزرگ سال را از طریق اتصال سولانا به سایر بلاک چین‌ها، انجام دادند. پروتکل ورم هول (Wormhole) نتوانست حساب‌های «نگهبان» را تأیید کند، و همین موضوع به هکرها اجازه داد تا تأییدیه‌ها را با امضای جعلی دور بزنند و ۳۲۶ میلیون دلار رمزارز را بدون نیاز به وثیقه‌ معادل، مینت کنند.
• سوءاستفاده از بریج نومد (Nomad Bridge) در آگوست ۲۰۲۲: بریج نومد که امکان اتصال توکن‌ها بین اتریوم، آوالانچ و چند شبکه دیگر را فراهم می‌کرد، یکی از هدف‌های هکرها برای سوءاستفاده بزرگ در ماه آگوست بود. ساختار ناامن در قرارداد هوشمند نومد به کاربران این امکان را می‌دهد تا هر مقدار وجهی را بدون نیاز به اثبات صحت تراکنش برداشت کنند. خبر این هک پس از حمله اصلی پخش شد و صدها کاربر به سادگی توانستند با کپی کردن اطلاعات به این سرقت دسته‌جمعی (crowd looting) ملحق شوند و در مجموع ۱۹۰ میلیون دلار سرقت کردند.
• هک کردن صرافی منگو مارکتس (Mango Markets) در اکتبر ۲۰۲۲: صرافی غیرمتمرکز منکر مارکتس در اکتبر هک شد. Avraham Eisenberg که بعداً اعتراف کرد که هکر بوده، از روش دستکاری بازار (market manipulation) برای سوءاستفاده از کمبود نقدینگی استفاده کرد. بر اساس این روش، این هکر با خرید مانگو(MNGO) و افزایش ساختگی قیمت این توکن‌ها  موفق شد وام‌های زیادی را از خزانه مانگو دریافت کند و ۱۱۶ میلیون دلار به سرقت ببرد.

 

بزرگترین سرقت سال ۲۰۲۲ از طریق یک هک کنترل دسترسی (access control hack) انجام شد

هک بریج رونین پلتفرم اسکای ماویس (Sky Mavis) در ماه مارس، با اختلاف زیادی بزرگترین هک کریپتویی سال از نظر میزان ضرر بود، با ۶۲۵ میلیون دلار سرقت که به تنهایی ۵۸/۳٪ درصد از هک به روش کنترل دسترسی در سال ۲۰۲۲ را به خودش اختصاص می‌دهد. زمانی که این اتفاق افتاد، بریج رونین در میان طرفداران بازی Axie Infinity، که از آن برای انتقال دارایی‌های خود بین زنجیره رونین و شبکه اتریوم استفاده می‌کردند، بسیار محبوب بود.

هکرها که بعدا مشخص شد گروه هکر بدنام کره شمالی به نام لازاروس (Lazarus) هستند، به پنج کلید خصوصی دسترسی پیدا کردند. آنها از کلیدهای خصوصی برای امضای تراکنش گره‌های اعتبارسنجی شبکه رونین استفاده کردند که به مهاجمان اجازه داد ۱۷۳۶۰۰ اتر (ETH) و ۲۵/۵ میلیون دلار استیبل کوین وابسته به دلار آمریکا (USDC) را از بریج خارج کنند.

در واقع، ۶۵ درصد از وجوه به سرقت رفته در سال گذشته از ۵ مورد هک برتر در بریج بوده است. در صنعت کریپتو، از بریج‌ها برای اتصال بین شبکه‌های بلاک چین و انتقال وجه استفاده می‌شود و از اهمیت زیادی برخوردارند. افراد متخلف از این فرصت برای هدف قرار دادن این بریج‌ها استفاده کرده‌اند تا دارایی‌های سرمایه‌گذاران را به سرقت ببرند.

 

کمترین میزان استفاده هکرها از روش‌های حمله دریافت وام‌های بدون وثیقه، ورود مجدد (reentrancy)، معضل اوراکل (oracle issue) و روش‌های فیشینگ

حمله دریافت وام‌های بدون وثیقه سومین روش محبوب برای هکرهای ارزهای دیجیتال بود که منجر به سرقت ۰/۲۴ میلیارد دلار شد و ۸/۷ درصد از ضرر سال گذشته را به خود اختصاص داد.

به دنبال آن هک‌های ورود مجدد و هک‌های اوراکل انجام شد که مهاجمان در همان دوره به ترتیب ۰/۰۸ و ۰/۰۵ میلیارد دلار سرقت کردند. ۲/۹٪ و ۱/۹٪ از ضرر سال گذشته مربوط به این دو روش بود.

مشخص شد که فیشینگ کمترین میزان محبوبیت را در بین هکرهای کریپتو دارد. به عنوان یک روش مستقل، تنها ۰/۰۲ میلیارد دلار ضرر یا ۰/۶ درصد از وجوه سرقت شده از طریق فیشینگ انجام شد. 

 

متدولوژی هک

این مطالعه بر اساس داده‌های پایگاه داده REKT DeFiYield بررسی کرده که در نتیجه هر یک از روش‌های هک یا سوء‌استفاده در سال ۲۰۲۲ چقدر سرمایه از دست رفته است. در این مقاله، از اصطلاحات «هک»، «سوءاستفاده» و «حمله» استفاده شده است.

هکرها از چه روش‌هایی برای هک و سوءاستفاده کریپتو استفاده می‌کنند؟

کنترل دسترسی (Access Control): زمانی که یک کلید خصوصی در معرض خطر قرار می‌گیرد، هکرها به کیف‌های پول یا حساب‌های ارز دیجیتال دسترسی پیدا می‌کنند، یا کنترل شبکه کامپیوتری و سیستم‌های امنیتی آن را در دست می‌گیرند.

حمله دریافت وام‌های بدون وثیقه (flash loan attacks): براساس این روش، هکرها مقدار زیادی از دارایی‌ها را از طریق وام‌هایی که باید در همان تراکنش بازپرداخت شوند و نیازی به وثیقه ندارند، به عنوان وام دریافت می‌کنند. با دستکاری قیمت یک ارز دیجیتال در یک صرافی و فروش مجدد آن در صرافی دیگر، فرد هکر می‌تواند وام را بازپرداخت کرده و سود خود را حفظ کند.

حمله ورود مجدد (Reentrancy): طبق این روش، هکرها از یک قرارداد هوشمند مخرب استفاده می‌کنند که به طور مکرر دستور برداشت وجه می‌دهد تا وجوه ارز دیجیتال را  قبل از آپدیت موجودی از یک قرارداد هوشمند تخلیه کند.

معضل اوراکل (Oracle Issue): در این روش، هکرها به اوراکل دسترسی پیدا می‌کنند – که معمولاً اطلاعات قیمت را به پروتکل ارزهای دیجیتال ارائه می‌کند – و از این طریق قیمت‌های ارائه شده را دستکاری می‌کند. این دسترسی می‌تواند منجر به شکست قرارداد هوشمند یا سرقت دارایی‌ها از طریق حملات دریافت وام‌های بدون وثیقه شود.

فیشینگ (Phishing): در روش فیشینگ، هکرها از مهندسی اجتماعی امنیت (social engineering) برای سرقت داده‌های کاربران، مانند اطلاعات ورود یا کلید خصوصی استفاده می‌کنند. در این روش معمولاً از ایمیل برای هدف قرار دادن موسسان پروتکل‌ها یا پلتفرم‌های مالی غیرمتمرکز (DeFi) استفاده می‌شود.