cointelegraph

سرقت ۱.۴۶ میلیارد دلاری Bybit؛ زنگ خطر برای امنیت کریپتو

سان

ریپل

اتریوم

مفاهیم کلیدی

سرقت ۱.۴۶ میلیارد دلاری Bybit توسط هکرهای کره شمالی

انتقاد از Coinbase به دلیل ضعف امنیتی در برابر حملات فیشینگ

ضرورت بهبود امنیت در صنعت کریپتو برای جلوگیری از سرقت‌های بزرگ

سرقت ۱.۴۶ میلیارد دلاری Bybit؛ زنگ خطر برای امنیت کریپتو

تظاهر نکنید که آسیب‌پذیری‌های فنی و انسانی جدا از هم هستند

بنیان‌گذاران کریپتو وعده‌های بزرگی می‌دهند: امور مالی غیرمتمرکز، بانکداری برای افراد بدون بانک و آزادی از واسطه‌ها. سپس هک‌ها اتفاق می‌افتند و در برخی موارد، میلیاردها دلار یک شبه ناپدید می‌شوند. در ۲۱ فوریه ۲۰۲۵، گروه لازاروس کره شمالی ۱.۴۶ میلیارد دلار از Bybit سرقت کرد. آنها ایمیل‌های فیشینگ به کارکنانی که به کیف پول سرد دسترسی داشتند ارسال کردند. پس از نفوذ به این حساب‌ها، به رابط Bybit دسترسی پیدا کردند و قرارداد کیف پول چند امضایی را با نسخه مخرب خود جایگزین کردند. هنگامی که Bybit تلاش کرد یک انتقال معمولی انجام دهد، هکرها ۴۹۹۰۰۰ اتر (ETH) را به آدرس‌های تحت کنترل خود هدایت کردند.

این فقط یک خطای انسانی نبود؛ این یک نقص طراحی بود. سیستمی که اجازه می‌دهد عوامل انسانی باعث سرقت میلیارد دلاری شوند، نوآورانه نیست - بلکه غیرمسئولانه است. در عرض تنها ۱۰ روز، هکرها تمام ۴۹۹۰۰۰ ETH را به وجوه غیرقابل ردیابی تبدیل کردند و از THORChain به عنوان کانال اصلی خود استفاده کردند. این صرافی غیرمتمرکز در یک هفته رکورد ۴.۶۶ میلیارد دلار مبادله را پردازش کرد اما هیچ تدابیری برای فعالیت‌های مشکوک اعمال نکرد.

صنعت کریپتو سیستمی ایجاد کرده است که حتی پس از کشف سرقت نمی‌تواند از کاربران محافظت کند. برخی خدمات در واقع از این جرم سود بردند و در حین پردازش پولشویی وجوه سرقتی، میلیون‌ها دلار کارمزد جمع‌آوری کردند.

آسیب‌پذیری‌های انسانی در مقیاس بزرگ

در فوریه ۲۰۲۵، محققان ZachXBT و Tanuki42 فاش کردند که کاربران Coinbase سالانه بیش از ۳۰۰ میلیون دلار به دلیل حملات مهندسی اجتماعی از دست می‌دهند. گزارش آنها نشان داد که ۶۵ میلیون دلار از طریق فیشینگ و سایر تکنیک‌های دستکاری اجتماعی در دسامبر ۲۰۲۴ و ژانویه ۲۰۲۵ سرقت شده است. به گفته محققان، Coinbase نتوانسته بود به آسیب‌پذیری‌های امنیتی شناخته شده در کلیدهای API و سیستم‌های تأیید هویت خود که این حملات انسانی را موفق می‌کردند، رسیدگی کند.

ZachXBT مستقیماً از این صرافی به دلیل داشتن «نمایندگان پشتیبانی مشتری بی‌فایده» و عدم گزارش صحیح آدرس‌های سرقتی به ابزارهای نظارت بر بلاکچین انتقاد کرد، که ردیابی وجوه سرقتی را دشوارتر می‌کرد. یک کلاهبردار حتی اعتراف کرد که کاربران ثروتمند را هدف قرار می‌دهد و ادعا کرد که آنها حداقل پنج رقم در هفته درآمد دارند.

این موارد جداگانه نیستند. دفتر تحقیقات فدرال ایالات متحده گزارش داد که کاربران عادی کریپتو در سال ۲۰۲۳ بیش از ۵.۶ میلیارد دلار به دلیل کلاهبرداری از دست داده‌اند و مهندسی اجتماعی حداقل نیمی از این طرح‌ها را هدایت کرده است. تنها آمریکایی‌ها سالانه تقریباً ۲ تا ۳ میلیارد دلار به دلیل حملات آسیب‌پذیری انسانی از دست می‌دهند. با بیش از ۶۰۰ میلیون کاربر کریپتو در سراسر جهان، برآوردهای محافظه‌کارانه نشان می‌دهد که خسارات فردی ناشی از مهندسی اجتماعی در سال ۲۰۲۴ بین ۶ تا ۱۵ میلیارد دلار بوده است.

مشکلات امنیتی و عدم توجه به آنها

نگرانی‌های امنیتی اکنون به عنوان مانع اصلی پذیرش توسط ۳۷٪ از کاربران کریپتو در سراسر جهان شناخته می‌شوند. در همین حال، این صنعت به تبلیغ دارایی‌های سوداگرانه پرخطر مانند میم‌کوین‌ها ادامه می‌دهد، جایی که کاربران عادی معمولاً پول از دست می‌دهند در حالی که افراد داخلی سود می‌برند. در حالی که بنیان‌گذاران آزادی مالی را تبلیغ می‌کنند، میلیون‌ها نفر از مردم واقعی پس‌انداز خود را از طریق آسیب‌پذیری‌هایی که این صنعت از رسیدگی به آنها امتناع می‌کند، از دست می‌دهند.

آنها نشانه‌های یک مشکل اساسی هستند: سازندگان کریپتو بازاریابی را به امنیت ترجیح می‌دهند. هنگامی که فاجعه‌ها رخ می‌دهند و آنها تحت فشار قرار می‌گیرند، رهبران کریپتو پشت اصل «کد قانون است» بلاکچین پنهان می‌شوند و استدلال‌های فلسفی درباره حاکمیت شخصی و مسئولیت فردی ارائه می‌دهند.

سرزنش کاربران عادی و نادیده گرفتن واقعیت

صنعت کریپتو دوست دارد کاربران عادی را سرزنش کند: «کلیدها را به صورت آنلاین ذخیره نکنید»، «قبل از ارسال، آدرس‌ها را بررسی کنید»، «هرگز فایل‌های مشکوک را باز نکنید». حتی رهبران صنعت خودشان قربانی همان حملات ابتدایی می‌شوند. در ژانویه ۲۰۲۴، کریس لارسن، یکی از بنیان‌گذاران ریپل، ۲۸۳ میلیون XRP را به دلیل ذخیره کلیدهای خصوصی در یک مدیر رمز عبور آنلاین از دست داد. آرتور_۰x، بنیان‌گذار DeFiance Capital، تنها با باز کردن یک فایل PDF فیشینگ، ۱.۶ میلیون دلار در توکن‌های غیرقابل تعویض (NFT) و ارزهای دیجیتال از دست داد.

این افراد مبتدیان ساده‌لوح نیستند - آنها سازندگان و کارشناسان همان سیستمی هستند که حتی نتوانست از آنها محافظت کند. آنها همه قوانین امنیتی را می‌دانند، اما عامل انسانی اجتناب‌ناپذیر است. اگر حتی معماران سیستم میلیون‌ها دلار از دست می‌دهند، کاربران عادی چه شانسی دارند؟

نیاز به نوآوری واقعی در امنیت

دانش قوانین امنیتی محافظت کامل را فراهم نمی‌کند زیرا تب، استرس، کمبود خواب یا ناراحتی عاطفی به شدت بر توانایی‌های تصمیم‌گیری ما تأثیر می‌گذارد. مهاجمان به طور مداوم رویکردهای مختلف را آزمایش می‌کنند و منتظر لحظاتی هستند که کاربران آسیب‌پذیر شوند. آنها تاکتیک‌های خود را به طور مداوم تکامل می‌دهند و سناریوها، جعل هویت‌ها و موقعیت‌های اضطراری فزاینده‌ای قانع‌کننده ایجاد می‌کنند.

ماهیت غیرقابل تغییر تراکنش‌های بلاکچین مستلزم تدابیر فوق‌العاده حفاظتی است - نه کمتر. اگر کاربران نمی‌توانند اشتباهات یا سرقت‌ها را معکوس کنند، سیستم باید از وقوع آنها در وهله اول جلوگیری کند. نوآوری واقعی به معنای ساختن سیستم‌هایی است که برای انسان‌های واقعی کار می‌کنند، نه کاربران نظریه‌پردازی شده.

بانک‌ها این درس را در طول قرن‌ها آموخته‌اند. سازندگان کریپتو باید سریع‌تر آن را بیاموزند. در عوض، به نظر می‌رسد رهبران صنعت به دلیل ثروت افراطی که به سرعت به آنها سرازیر شده، ارتباط خود را با واقعیت از دست داده‌اند. آنها به روایت روابط عمومی خود باور کرده‌اند، خود را نابغه می‌دانند و شروع به دیدن خود به عنوان آینده‌نگر کرده‌اند.

عدم صداقت در رویکرد

ویتالیک بوترین در مورد رأی‌گیری در انتخابات به مخاطبان خود سخنرانی می‌کند و مانیفست خود را جلا می‌دهد، در حالی که جاستین سان ۶.۲ میلیون دلار برای یک موز به عنوان یک «تجربه هنری منحصر به فرد» خرج می‌کند - همه اینها در حالی که محیطی را می‌سازند که اشتباهات خطرناک را آسان می‌کند.

این رویکرد اساساً ناصادقانه است. شما نمی‌توانید ادعا کنید که در حال انقلاب در امور مالی هستید در حالی که امنیت کمتری نسبت به سیستم‌هایی که در حال جایگزینی آنها هستید ارائه می‌دهید. چه نبوغ فنی در سیستم‌هایی وجود دارد که اجازه سرقت‌های میلیارد دلاری و کلاهبرداری سیستماتیک از کاربران عادی را با چنین سهولتی می‌دهند؟

به عنوان یک عملکرد اصلی، برتری فنی واقعی شامل محافظت از کاربران در برابر از دست دادن مالی دائمی خواهد بود. یک سیستم مالی که نمی‌تواند دارایی‌های کاربران خود را ایمن کند، از نظر فنی پیشرفته نیست - بلکه اساساً ناقص است.

زمان برای تغییر فرا رسیده است

وقت آن است که نوشتن مانیفست‌ها و تبلیغ شیرین‌کاری‌های روابط عمومی مشکوک که برای جذب مخاطبان گسترده‌تر و آسیب‌پذیرتر طراحی شده‌اند را متوقف کنید. شروع به ایجاد حفاظت‌های واقعی کنید که با سطح خطری که کاربران شما با آن مواجه هستند مطابقت داشته باشد. هیچ مقدار نوآوری بلاکچین مهم نیست اگر افراد عادی نتوانند از این سیستم‌ها بدون ترس از از دست دادن مالی فوری و دائمی استفاده کنند.

هر چیزی کمتر از این فقط یک آزمایش بی‌پروا به هزینه کاربران است که در قالب یک انقلاب پنهان شده است - طرحی که بنیان‌گذاران و افراد داخلی را ثروتمند می‌کند در حالی که افراد عادی تمام خطرات را متحمل می‌شوند. اگر این صنعت این مشکل را حل نکند، تنظیم‌کننده‌ها این کار را خواهند کرد - و شما راه‌حل‌های آنها را دوست نخواهید داشت.

استدلال‌های فلسفی شما درباره حاکمیت شخصی زمانی که مجوزها لغو و عملیات تعطیل شوند، اهمیتی نخواهند داشت. این انتخابی است که سازندگان کریپتو با آن مواجه هستند: یا ایجاد سیستم‌های واقعاً ایمن که ادعاهای شما درباره نوآوری مالی را توجیه کنند یا تماشای تبدیل شدن فناوری «انقلابی» شما به یک خدمات مالی به شدت تنظیم‌شده دیگر توسط تنظیم‌کننده‌ها.

زمان در حال گذر است.

لینک خبر

ترجمه شده توسط تیم فیدبین

فیدبین

آگهی

📊 لیست ۱۰ بروکر معتبر فارکس برای ایرانیان 🇮🇷

بهترین بروکرهای فارکس برای ترید و سرمایه‌گذاری امن را بشناسید!
در این مقاله، ۱۰ بروکر برتر با امکاناتی مانند اسپرد پایین، امنیت بالا، و پشتیبانی ۲۴ ساعته بررسی شده‌اند.

🔥 اگر به دنبال بهترین گزینه برای شروع ترید هستید، همین حالا کلیک کنید و بروکر مناسب خود را انتخاب کنید!

👇 کلیک کنید!

🔗 مشاهده بهترین بروکرها

📊 لیست ۱۰ بروکر معتبر فارکس برای ایرانیان 🇮🇷