خطرات فضای ارزهای دیجیتال: هک، کلاهبرداری، حمله، و سوءاستفاده چه تفاوتی باهم دارند؟


همان‌طور‌که می‌دانیم، در هر صنعتی که پول فراوان وجود داشته باشد، پای انواع کلاهبرداری‌ها و دزدی‌ها هم باز می‌شود. صنعت ارز دیجیتال نیز از این قاعده مستثنا نیست و مصداق آن هم افزایش شیوع خطرات مرتبط با این صنعت درنتیجه گسترش پذیرش ارزهای دیجیتال است.

امروزه، هک‌ها، کلاهبرداری‌ها، حمله‌ها و سوءاستفاده‌ها در این اکوسیستم رایج‌تر از گذشته شده‌اند و خسارت‌های مالی جبران‌ناپذیری به کاربرها و حتی مؤسسه‌های کریپتویی وارد کرده‌اند.

در این یادداشت که به‌قلم آندره سرگینکوف (Andrey Sergeenkov) نگاشته شده است، درباره تفاوت اصطلاحات هک، کلاهبرداری، حمله و سوءاستفاده صحبت می‌کنیم و راهبردهایی برای محافظت از دارایی‌هایتان دربرابر آن‌ها پیشنهاد می‌دهیم. فرقی نمی‌کند سرمایه‌گذار باتجربه در ارزهای دیجیتال هستید یا کاربری تازه‌کار، درهرصورت داشتن اطلاعات کامل از این مخاطرات و مقابله با آن‌ها، می‌تواند برایتان مفید باشد.

نگاهی اجمالی به تعریف خطرات مرتبط با ارزهای دیجیتال

هک (Hack): هک در کریپتو به‌معنای نفوذ به سیستم یا شبکه است. پس از ورود، هکرها می‌توانند داده‌ها یا دارایی‌های دیجیتال را به‌سرقت ببرند یا به سیستم آسیب بزنند.

کلاهبرداری (Scam): کلاهبرداری مستلزم فریب‌دادن افراد برای ارائه داده‌های حساس یا کلیدهای خصوصی کیف پول ارز دیجیتال یا دارایی‌های دیجیتال آنان است. کلاهبرداری‌های این صنعت شامل طیف گسترده‌ای از روش‌هاست؛ از ایمیل‌های فیشینگ گرفته تا حمله‌های راگ پول.

حمله (Attack): حمله دامنه وسیع‌تری دارد. حمله در فضای ارزهای دیجیتال می‌تواند سیستم‌ها یا شبکه‌های ارز دیجیتال را به‌منظور ایجاد اختلال یا آسیب در آن‌ها هدف قرار دهد.

سوءاستفاده (Exploit): سوءاستفاده در این صنعت به‌معنای بهره‌برداری نادرست از نقاط آسیب‌پذیری است که اغلب در نرم‌افزارهای کریپتویی وجود دارند. هدف از این کار دسترسی به دارایی‌ها و تخلیه آن‌ها از حساب کاربران است.

حالا بیایید خطراتی که درباره آن‌ها صحبت کردیم، به‌تفصیل بررسی کنیم.

۱. هک در دنیای ارزهای دیجیتال

هک‌ها از رویدادهای رایجی هستند که از زمان ظهور ارزهای دیجیتال شاهد آن‌ها بوده‌ایم. هک به‌معنای دسترسی غیرمجاز و سرقت دارایی‌های دیجیتال یا اطلاعات مربوط به کاربران از صرافی‌ها یا کیف پول‌های ارز دیجیتال است. هک می‌تواند به‌دلایل مختلف نظیر آسیب‌پذیری در سیستم‌های امنیتی یا تکنیک‌های مهندسی اجتماعی یا سرقت داخلی اتفاق بیفتد.

عواقب چنین هک‌هایی برای صرافی‌ها یا کیف پول و کاربران آن می‌تواند فاجعه‌بار باشد. بازیابی دارایی‌های دیجیتال به‌سرقت‌رفته اغلب دشوار یا حتی غیرممکن است. اعتبار صرافی یا ارائه‌دهنده کیف پول ارز دیجیتال می‌تواند به‌‌طور جبران‌ناپذیر خدشه‌دار شود.

نمونه بارز این مسئله که همه دنبال‌کنندگان قدیمی فناوری ارز دیجیتال آن را به‌یاد می‌آورند، هک صرافی مت‌گاکس (Mt. Gox) در سال ۲۰۱۴ است که طی آن، ۸۵۰هزار بیت کوین به‌ارزش بیش از ۴۵۰میلیون دلار به‌سرقت رفت و به ورشکستگی این صرافی منجرشد. این واقعه باعث شد اعتماد کلی به امنیت ارزهای دیجیتال کاهش یابد.

چطور از هک‌ها در امان بمانیم؟

صرافی‌ها و کیف پول‌های ارز دیجیتال باید از پروتکل‌های امنیتی قوی، شامل تأیید هویت دوعاملی و ذخیره‌سازی سرد یا آفلاین استفاده کنند تا دربرابر هکرها ایمن بمانند. ارزیابی‌های دوره‌ای امنیت نیز می‌تواند به شناسایی آسیب‌پذیری‌های سیستم‌ها کمک کند.

مسئولیت مقابله با هک فقط برعهده صرافی‌ها و ارائه‌دهنده‌های کیف پول ارز دیجیتال نیست و کاربران این صنعت هم مسئولیت بزرگی در جلوگیری از هک برعهده دارند. به‌احتمال زیاد این عبارت معروف را شنیده‌اید که «بدون کلیدهایتان ارز دیجیتالتان متعلق به شما نخواهد بود». این نشان می‌دهد که حفظ امنیت کلیدهای خصوصی چقدر مهم است.

یکی از راهکارهای مهم برای مقابله با هک‌ها، این است که کلیدهای خصوصی را در جایی امن نگه دارید و آن‌ها را به کسی ندهید. همچنین، از یک رمز‌عبور یکسان برای همه پلتفرم‌ها استفاده نکنید و همه دارایی‌های دیجیتال خود را فقط در یک صرافی یا یک کیف پول ذخیره نکنید. کیف پول‌های سخت‌افزاری و آفلاین امنیت بسیار بیشتری دارند.

نهادهای نظارتی هم می‌توانند نقشی محوری در جلوگیری از هک در فضای ارزهای دیجیتال ایفا کنند. این نهادها با وضع مقررات و درنظرگرفته استانداردهای امنیتی و اجرای آن‌ها، می‌توانند تضمین کنند که صرافی‌ها و کیف پول‌های ارز دیجیتال تا حد مشخصی به پاسخ‌گویی پایبند هستند و از کاربران خود محافظت می‌کنند.

برخی از هک‌های اخیر در حوزه کریپتو

پلتفرم مالی غیرمتمرکز لول فایننس (Level Finance) مدتی پیش به‌‌دلیل وجود باگ در یکی از قراردادهای هوشمند، یک‌میلیون دلار از دارایی‌های دیجیتال کاربرانش را از دست داد. هکری توانست از آسیب‌پذیری موجود در این پلتفرم حوزه دیفای برای سوءاستفاده و تخلیه وجوه پلتفرم مذکور بهره‌برداری کند. لول فایننس این اتفاق را تأیید کرد و به کاربران اطمینان داد که مشکل را بیشتر بررسی خواهد کرد تا دلیل آن را شناسایی کند و مطمئن شود که دیگر تکرار نخواهد شد.

نمونه دیگر، هاندرد فایننس است که در ماجرای هک پلتفرم آپتیمیزم، مبلغ ۷میلیون دلار را از دست داد. به‌گفته سرتیک (Certik)، هکری نرخ مبادله بین توکن‌های ERC-20 و HTokenها را دست‌کاری کرد و بدین‌ترتیب، توانست بیشتر از توکن‌هایی که سپرده‌گذاری کرده بود، برداشت کند. هاندرد فایننس این رخنه امنیتی را تصدیق کرد و به کاربران اطمینان داد که از نزدیک با تیم آپتیمیزم برای رفع نقص‌های امنیتی و بازیابی وجوه دزدیده‌شده همکاری خواهد کرد.

این دو رویداد به ریسک‌های مرتبط با اکوسیستم دیفای اشاره می‌کنند و نشان می‌دهند که این اکوسیستم به‌سرعت در حال‌ تحول به اقدامات امنیتی دقیق‌تری برای محافظت از کاربران و دارایی‌های دیجیتال آن‌ها نیاز دارد.

۲. کلاهبرداری در صنعت ارزهای دیجیتال

در دنیای ارزهای دیجیتال که با شخصیت‌های ناشناس زیادی روبه‌رو هستیم، کلاهبرداری‌ها به مشکلی بزرگ تبدیل شده‌اند. کلاهبرداری‌ها اغلب ازطریق ایمیل‌های فیشینگ یا وب‌سایت‌ها اتفاق می‌افتند.

برای مثال، طرح‌هایی که سود کلانی وعده می‌دهند؛ اما چیزی ارائه نمی‌کنند، پروژه‌های کریپتویی جعلی، راگ پول‌ها و پلتفرم‌های معاملاتی جعلی، طرح‌های هرمی و پانزی، همگی ازجمله کلاهبرداری‌های رایج در صنعت ارزهای دیجیتال هستند که باعث می‌شوند کاربران اطلاعات محرمانه یا دارایی‌های دیجیتال خود را از دست بدهند.

فیشینگ برای فریب‌دادن افراد به‌کار می‌رود. در این روش، کلاهبرداران افراد را گول می‌زنند تا اطلاعات ورود یا کلیدهای خصوصی خود را به وب‌سایت‌ها یا ایمیل‌های جعلی تقدیم کنند که واقعی به‌نظر می‌رسند.

طرح‌های پانزی پروژه‌هایی کریپتویی هستند که بازدهی و سود زیادی را وعده می‌دهند؛ اما شرط آن‌ها پیوستن افراد جدید است تا با پرداختی آن‌ها، سود اعضای قدیمی را بپردازند.

پروژه‌های جعلی توکنی بی‌ارزش را ارائه می‌کنند و سپس با پول‌هایی که افراد برای توکن‌های بی‌مصرف پرداخته‌اند، ناپدید می‌شوند.

پلتفرم‌های معاملاتی جعلی هم کاربران را با معاملات جذاب به‌دام می‌اندازند؛ اما پس از به‌چنگ‌آوردن دارایی‌های دیجیتال آن‌ها فرار می‌کنند.

چطور قربانی کلاهبرداری نشویم؟

برای جلوگیری از کلاهبرداری، کافی است هر اقدامی را با احتیاط انجام دهید. برای مثال، فقط از پلتفرم‌های معاملاتی مطمئن و کیف پول‌های ارز دیجیتالی ایمن استفاده کنید. قبل از سرمایه‌گذاری به‌خوبی تحقیق کنید و مراقب هرگونه پیشنهاد یا پیام‌هایی باشید که بیش‌ازحد جذاب به‌نظر می‌رسند یا اطلاعات شخصی شما را درخواست می‌کنند.

اگر پلتفرم یا اشخاصی به هر دلیل از شما درخواست واریز وجه کردند، این کار را انجام ندهید. علاوه‌براین، کلیدهای خصوصی خود را در جای امن نگه دارید و آن‌ها را برای هیچ‌کس افشا نکنید.

کلاهبرداری‌های اخیر در صنعت ارزهای دیجیتال

با افزایش محبوبیت میم کوین‌هایی نظیر پپه (PEPE)، بسیاری از کلاهبرداران شروع به سوءاستفاده از این وضعیت کرده‌اند. شرکت امنیت بلاک چینی پک‌شیلد (PeckShield) گزارش داد که در ماه می، حداقل ۱۰ اقدام کلاهبرداری با میم کوین آغاز شده است.

این شرکت توانسته است به‌تازگی چندین توکن کلاهبرداری را شناسایی کند که نقدینگی پروژه را برداشت می‌کنند و باعث می‌شوند سرمایه‌گذاران ناآگاه طعمه برنامه‌های راگ پول این پروژه‌ها شوند.

۳. حمله‌ها در ارزهای دیجیتال

هرچه محبوبیت ارزهای دیجیتال بیشتر می‌شود، مهاجمان حمله‌های بیشتری طراحی می‌کنند که سیستم‌ها و اطلاعات مهم در این فضا را تهدید می‌کند. حمله‌های سایبری نظیر حملات داس (DoS) یا محروم‌سازی از سرویس و حملات بدافزاری و باج‌افزاری بسیار رایج شده‌اند.

حمله داس با پرکردن ترافیک بیش‌ازحد در شبکه یا سیستم، باعث ازکارافتادن آن می‌شود. این حمله‌ها می‌توانند صرافی‌ها یا پلتفرم‌های ارز دیجیتال را هدف قرار دهند و دسترسی کاربران به دارایی‌های دیجیتال یا امکان انجام تراکنش را از آن‌ها سلب کنند.

حمله‌های بدافزار با نصب نرم‌افزارهای مخرب روی سیستم یا شبکه اتفاق می‌افتد و درنتیجه این حمله، مهاجم می‌تواند به اطلاعات حساس افراد دسترسی پیدا کند و حتی کلیدهای خصوصی یا اطلاعات ورود به سیستم را به‌سرقت ببرد و به دارایی‌های دیجیتال میلیون‌‌دلاری کاربران دست یابد.

حمله‌های باج‌افزار شامل رمزگذاری فایل‌های سیستم یا شبکه است. در این حمله، مهاجم فقط زمانی‌که قربانی باج درخواستی را پرداخت کند، کلید رمزگشایی فایل‌ها را ارائه می‌دهد. این حمله‌ها می‌توانند صرافی‌ها یا کیف پول‌های ارز دیجیتال را هدف قرار دهند و حتی دسترسی کاربران به دارایی‌های دیجیتال آن‌ها را قطع کنند تا زمانی‌که مجبور شوند مبلغ باج را بپردازند.

چطور می‌توانیم دربرابر حمله‌ها هوشیار باشیم؟

صرافی‌های ارز دیجیتال و ارائه‌دهندگان کیف پول ارز دیجیتال برای محافظت دربرابر چنین حمله‌هایی باید تدابیر امنیتی قدرتمندی اتخاذ کنند و حسابرسی‌های امنیتی را به‌‌طورمنظم انجام دهند و از روش‌های ذخیره‌سازی سرد یا آفلاین برای جلوگیری از تهدیدهای سایبری استفاده کنند.

حمله‌های اخیر در حوزه ارزهای دیجیتال

سال گذشته، حمله سایبری بزرگی به BTC.com، یکی از استخرهای ماینینگ بزرگ ارزهای دیجیتال جهان، باعث ازدست‌دادن وجوه زیادی از سرمایه شرکت و مشتریان آن شد. گفتنی است این استخر گزینه‌های استخراج را برای طیف وسیعی از دارایی‌های دیجیتال ازجمله بیت کوین و لایت کوین ارائه می‌دهد.

اتفاق مذکور در ۳‌دسامبر۲۰۲۲ رخ داد و مهاجمان توانستند تقریباً ۷۰۰هزار دلار از دارایی‌های مشتری و ۲.۳میلیون دلار از دارایی‌های متعلق به شرکت را سرقت کنند.

۴. سوءاستفاده در صنعت ارزهای دیجیتال

سوءاستفاده در دنیای ارزهای دیجیتال تکنیک خاصی است که از نقص یا آسیب‌پذیری در سیستم به‌طورغیرمجاز بهره‌برداری می‌کند و امکان دسترسی غیرمجاز به اطلاعات کاربر یا اجرای کدهای مخرب یا ایجاد اثرهای نامطلوب دیگر را برای مهاجم فراهم می‌کند.

این کار اغلب به سرقت کوین‌ها یا توکن‌های قربانی منجر می‌شود و خسارت مالی به بار می‌آورد. سوءاستفاده ممکن است به روش‌های مختلفی ازجمله باگ‌های نرم‌افزاری و حمله‌های شبکه یا حتی خطای انسانی انجام شود.

امروزه انواع سوءاستفاده‌ها در حوزه ارزهای دیجیتال به‌سرعت در حال رایج‌شدن است. برخی از انواع سوءاستفاده‌ها از ارزهای دیجیتال عبارت‌اند از: حمله‌های وام‌های فلش و حمله‌های ۵۱درصدی و معاملات واش یا شست‌وشو.

  • حمله‌های وام‌های آنی یا فلش را مهاجمانی انجام می‌دهند که برای دست‌کاری بازار ارز دیجیتال وام می‌گیرند.
  • حمله ۵۱درصدی زمانی رخ می‌دهد که نهاد یا گروهی کنترل بیش از ۵۰درصد قدرت استخراج شبکه‌ای را که از مکانیسم اثبات کار استفاده می‌کند، به‌دست آورد تا با دو بار خرج‌کردن ارزها، فرایند تأیید تراکنش‌ها را مختل کند.
  • معاملات شست‌وشو به‌معنای تورم مصنوعی قیمت توکن‌هاست که درنتیجه خریدوفروش سریعی اتفاق می‌افتد که معامله‌گر با هدف کسب سود هنگام افزایش قیمت انجام می‌دهد. پیامدهای این سوءاستفاده‌ها از خسارت مالی جزئی تا خسارت مالی فراوان را در‌بر می‌گیرد.

در مارس۲۰۲۳، صنعت کریپتو در‌مجموع ۲۳ حمله بزرگ را تجربه کرد که در‌مقایسه‌با ۲۱ حمله اتفاق‌افتاده در فوریه۲۰۲۲‌، در رتبه دوم کمترین تعداد حمله قرار گرفته است. میانگین ضرر هر حمله در ماه مارس نزدیک به ۱۰میلیون دلار بود که درمقایسه‌با میانگین فوریه که تقریباً ۱.۷میلیون دلار در هر حمله بود، افزایش چشمگیری را نشان می‌داد.

سوءاستفاده‌های اخیر در صنعت ارزهای دیجیتال

همان‌طورکه گفتیم، مهم‌ترین نمونه سوءاستفاده در ماه مارس امسال، حادثه اویلر فایننس (Euler Finance) بود که به خسارت ۲۰۰میلیون‌دلاری منجر شد. این حمله که ۱۳‌مارس۲۰۲۳ رخ داد، بزرگ‌ترین حمله امسال به‌شمار می‌رود.

در این حمله، مهاجمی به نام جیکوب از دارایی‌های قرض‌گرفته‌شده از وام فلش و نیز آسیب‌پذیری‌های قراردادهای استخر اویلر برای تخلیه وجوه ۵ استخر مالی اویلر سوءاستفاده کرد. از آن زمان تاکنون، جیکوب به‌تدریج ۱۷۷میلیون دلار از وجوه سرقتی را پس داده است.

دومین سوءاستفاده بزرگ در ۳‌فوریه۲۰۲۲ رخ داد؛ زمانی‌که پروتکل وام‌دهی و استیبل کوین مبتنی‌بر پالیگان و بونکدائو (BonqDAO) و آلینس‌بلاک (AllianceBlock)، با حمله‌ای دومرحله‌ای با دست‌کاری اوراکل قیمت مواجه شدند. مبلغ سرقت‌شده در این سوءاستفاده ۱۲۰میلیون دلار گزارش شد؛ هرچند مهاجم به‌دلیل کمبود نقدینگی توانست فقط ۱.۳میلیون دلار از آن را برداشت کند.

تفاوت بین هک، کلاهبرداری، حمله و سوءاستفاده

هک، کلاهبرداری، حمله و سوءاستفاده اصطلاحاتی هستند که برای توصیف مخاطرات مرتبط با دنیای ارزهای دیجیتال به‌کار می‌روند؛ اما تفاوت‌های ظریفی بین آن‌ها وجود دارد که درک کامل آن‌ها ضروری است.

هریک از این مخاطرات به انواع متفاوتی از تهدیدها اشاره می‌کنند و هرکدام به روش‌های متفاوتی دارایی‌های دیجیتال کاربران را به‌خطر می‌اندازند. درنتیجه، روش‌های محافظت از دارایی‌ها و اطلاعات و سلامت سیستم‌ها و شبکه‌ها دربرابر این مخاطرات کمی متفاوت هستند.

هک به‌معنای نفوذ به سیستم یا شبکه است و اغلب از‌طریق سوءاستفاده از آسیب‌پذیری در نرم‌افزار یا سخت‌افزار انجام می‌شود. هک ممکن است شامل شیوه‌هایی مانند حمله‌های جست‌وجوی فراگیر (Brute Force) (نوعی حمله برای شکستن رمز) یا کلاهبرداری‌های فیشینگ باشد.

هنگامی که هکر به سیستم دسترسی پیدا می‌کند، می‌تواند داده‌ها یا دارایی‌های دیجیتال را بدزدد یا به سیستم آسیب بزند. این در حالی‌ است که کلاهبرداری بر فریب‌دادن افراد برای ارائه اطلاعات حساس یا دارایی‌های دیجیتال آن‌ها تمرکز دارد.

کلاهبرداری ازطریق ایمیل‌های جعلی که به پلتفرم‌های دروغین رهنمون می‌شوند تا طرح‌های سرمایه‌گذاری تقلبی انجام می‌شود. سوءاستفاده به‌طورخاص بر بهره‌برداری از آسیب‌پذیری‌های ‌نرم‌افزاری یا سخت‌افزاری برای دستیابی به دسترسی یا کنترل غیرمجاز سیستم یا شبکه متمرکز است.

دامنه حمله‌ها گسترده‌تر از هک و کلاهبرداری و سوءاستفاده است و هرگونه اقدامی را شامل می‌شود که هدف آن ایجاد اختلال و آسیب‌رساندن و تخریب سیستم یا شبکه دیجیتال باشد.

توجه به این نکته مهم است که هک و سوءاستفاده تقریباً مشابه هستند و به مهارت‌ها و دانش فنی نیاز دارند؛ اما کلاهبرداری و حمله را می‌توان ازطریق تاکتیک‌های مهندسی اجتماعی مانند فیشینگ انجام داد.

سؤالات متداول

هک چیست؟

هک شامل نفوذ به سیستم یا شبکه است و اغلب از‌طریق سوءاستفاده از آسیب‌پذیری در نرم‌افزار یا سخت‌افزار انجام می‌شود.

کلاهبرداری چیست؟

کلاهبرداری به‌معنای فریب‌دادن افراد برای ارائه اطلاعات حساس یا دارایی‌های دیجیتال آنان است.

حمله چیست؟

هرگونه اقدامی که هدف آن ایجاد اختلال و آسیب‌رساندن و تخریب سیستم یا شبکه دیجیتال باشد، حمله نامیده می‌شود.

سوءاستفاده چیست؟

سوءاستفاده به‌معنای بهره‌برداری از آسیب‌پذیری‌های ‌نرم‌افزاری یا سخت‌افزاری برای دستیابی به دسترسی یا کنترل غیرمجاز سیستم یا شبکه است.

تفاوت هک، کلاهبرداری، حمله یا سوءاستفاده چیست؟

روش‌های انجام هریک از این موارد با یکدیگر فرق دارد. هک و سوءاستفاده به مهارت‌ها و دانش فنی نیاز دارند؛ ولی کلاهبرداری و حمله به دانش فنی چندانی احتیاج ندارند. ناگفته نماند که دامنه حمله‌ها گسترده‌تر از هک و کلاهبرداری و سوءاستفاده است.

The post خطرات فضای ارزهای دیجیتال: هک، کلاهبرداری، حمله، و سوءاستفاده چه تفاوتی باهم دارند؟ appeared first on ارزدیجیتال.



منبع