روشهای مورداستفاده هکرها در سال ۲۰۲۲ برای سرقت ارزهای دیجیتال
بررسی روشهای هک استفاده شده در بزرگترین سرقتهای سال ۲۰۲۲

در سال ۲۰۲۲، هکرها در برخی از بزرگترین سرقتهای کریپتو نقش داشتند و از روشهای متنوع و غیرمتعارفی استفاده کردند که در ادامه به هریک از این موارد میپردازیم.
مفهوم هک و سوءاستفاده در ارزهای دیجیتال چیست؟
در صنعت کریپتو، هک و سوءاستفاده به حملاتی اطلاق میشود که از آسیبپذیریها و نقصهای موجود در هر کد یا سیستم برای سرقت سکهها یا توکنهای ارزهای دیجیتال استفاده میکنند. معمولاً به افراد یا گروههایی که روشهای هک و سوءاستفاده را به کار میبرند، «هکر» میگویند. در نتیجه چنین اقداماتی، سرمایهداران و پروژههای ارزهای دیجیتال متحمل ضررهایی در وجوه خود میشوند که ممکن است قابل بازیابی نباشد.
بزرگترین سرقتهای سال ۲۰۲۲
- حمله کرمچاله (Wormhole Hack) در فوریه ۲۰۲۲: هکرها دومین سوء استفاده بزرگ سال را از طریق اتصال سولانا به سایر بلاک چینها، انجام دادند. پروتکل ورم هول (Wormhole) نتوانست حسابهای «نگهبان» را تأیید کند، و همین موضوع به هکرها اجازه داد تا تأییدیهها را با امضای جعلی دور بزنند و ۳۲۶ میلیون دلار رمزارز را بدون نیاز به وثیقه معادل، مینت کنند.
- سوءاستفاده از بریج نومد (Nomad Bridge) در آگوست ۲۰۲۲: بریج نومد که امکان اتصال توکنها بین اتریوم، آوالانچ و چند شبکه دیگر را فراهم میکرد، یکی از هدفهای هکرها برای سوءاستفاده بزرگ در ماه آگوست بود. ساختار ناامن در قرارداد هوشمند نومد به کاربران این امکان را میدهد تا هر مقدار وجهی را بدون نیاز به اثبات صحت تراکنش برداشت کنند. خبر این هک پس از حمله اصلی پخش شد و صدها کاربر به سادگی توانستند با کپی کردن اطلاعات به این سرقت دستهجمعی (crowd looting) ملحق شوند و در مجموع ۱۹۰ میلیون دلار سرقت کردند.
- هک کردن صرافی منگو مارکتس (Mango Markets) در اکتبر ۲۰۲۲: صرافی غیرمتمرکز منکر مارکتس در اکتبر هک شد. Avraham Eisenberg که بعداً اعتراف کرد که هکر بوده، از روش دستکاری بازار (market manipulation) برای سوءاستفاده از کمبود نقدینگی استفاده کرد. بر اساس این روش، این هکر با خرید مانگو(MNGO) و افزایش ساختگی قیمت این توکنها موفق شد وامهای زیادی را از خزانه مانگو دریافت کند و ۱۱۶ میلیون دلار به سرقت ببرد.
بزرگترین سرقت سال ۲۰۲۲ از طریق یک هک کنترل دسترسی (access control hack) انجام شد
هک بریج رونین پلتفرم اسکای ماویس (Sky Mavis) در ماه مارس، با اختلاف زیادی بزرگترین هک کریپتویی سال از نظر میزان ضرر بود، با ۶۲۵ میلیون دلار سرقت که به تنهایی ۵۸/۳٪ درصد از هک به روش کنترل دسترسی در سال ۲۰۲۲ را به خودش اختصاص میدهد. زمانی که این اتفاق افتاد، بریج رونین در میان طرفداران بازی Axie Infinity، که از آن برای انتقال داراییهای خود بین زنجیره رونین و شبکه اتریوم استفاده میکردند، بسیار محبوب بود.
هکرها که بعدا مشخص شد گروه هکر بدنام کره شمالی به نام لازاروس (Lazarus) هستند، به پنج کلید خصوصی دسترسی پیدا کردند. آنها از کلیدهای خصوصی برای امضای تراکنش گرههای اعتبارسنجی شبکه رونین استفاده کردند که به مهاجمان اجازه داد ۱۷۳۶۰۰ اتر (ETH) و ۲۵/۵ میلیون دلار استیبل کوین وابسته به دلار آمریکا (USDC) را از بریج خارج کنند.
در واقع، ۶۵ درصد از وجوه به سرقت رفته در سال گذشته از ۵ مورد هک برتر در بریج بوده است. در صنعت کریپتو، از بریجها برای اتصال بین شبکههای بلاک چین و انتقال وجه استفاده میشود و از اهمیت زیادی برخوردارند. افراد متخلف از این فرصت برای هدف قرار دادن این بریجها استفاده کردهاند تا داراییهای سرمایهگذاران را به سرقت ببرند.
کمترین میزان استفاده هکرها از روشهای حمله دریافت وامهای بدون وثیقه، ورود مجدد (reentrancy)، معضل اوراکل (oracle issue) و روشهای فیشینگ
حمله دریافت وامهای بدون وثیقه سومین روش محبوب برای هکرهای ارزهای دیجیتال بود که منجر به سرقت ۰/۲۴ میلیارد دلار شد و ۸/۷ درصد از ضرر سال گذشته را به خود اختصاص داد.
به دنبال آن هکهای ورود مجدد و هکهای اوراکل انجام شد که مهاجمان در همان دوره به ترتیب ۰/۰۸ و ۰/۰۵ میلیارد دلار سرقت کردند. ۲/۹٪ و ۱/۹٪ از ضرر سال گذشته مربوط به این دو روش بود.
مشخص شد که فیشینگ کمترین میزان محبوبیت را در بین هکرهای کریپتو دارد. به عنوان یک روش مستقل، تنها ۰/۰۲ میلیارد دلار ضرر یا ۰/۶ درصد از وجوه سرقت شده از طریق فیشینگ انجام شد.
متدولوژی هک
این مطالعه بر اساس دادههای پایگاه داده REKT DeFiYield بررسی کرده که در نتیجه هر یک از روشهای هک یا سوءاستفاده در سال ۲۰۲۲ چقدر سرمایه از دست رفته است. در این مقاله، از اصطلاحات «هک»، «سوءاستفاده» و «حمله» استفاده شده است.

هکرها از چه روشهایی برای هک و سوءاستفاده کریپتو استفاده میکنند؟
کنترل دسترسی (Access Control): زمانی که یک کلید خصوصی در معرض خطر قرار میگیرد، هکرها به کیفهای پول یا حسابهای ارز دیجیتال دسترسی پیدا میکنند، یا کنترل شبکه کامپیوتری و سیستمهای امنیتی آن را در دست میگیرند.
حمله دریافت وامهای بدون وثیقه (flash loan attacks): براساس این روش، هکرها مقدار زیادی از داراییها را از طریق وامهایی که باید در همان تراکنش بازپرداخت شوند و نیازی به وثیقه ندارند، به عنوان وام دریافت میکنند. با دستکاری قیمت یک ارز دیجیتال در یک صرافی و فروش مجدد آن در صرافی دیگر، فرد هکر میتواند وام را بازپرداخت کرده و سود خود را حفظ کند.
حمله ورود مجدد (Reentrancy): طبق این روش، هکرها از یک قرارداد هوشمند مخرب استفاده میکنند که به طور مکرر دستور برداشت وجه میدهد تا وجوه ارز دیجیتال را قبل از آپدیت موجودی از یک قرارداد هوشمند تخلیه کند.
معضل اوراکل (Oracle Issue): در این روش، هکرها به اوراکل دسترسی پیدا میکنند – که معمولاً اطلاعات قیمت را به پروتکل ارزهای دیجیتال ارائه میکند – و از این طریق قیمتهای ارائه شده را دستکاری میکند. این دسترسی میتواند منجر به شکست قرارداد هوشمند یا سرقت داراییها از طریق حملات دریافت وامهای بدون وثیقه شود.
فیشینگ (Phishing): در روش فیشینگ، هکرها از مهندسی اجتماعی امنیت (social engineering) برای سرقت دادههای کاربران، مانند اطلاعات ورود یا کلید خصوصی استفاده میکنند. در این روش معمولاً از ایمیل برای هدف قرار دادن موسسان پروتکلها یا پلتفرمهای مالی غیرمتمرکز (DeFi) استفاده میشود.