هک کوین‌بیس هم‌زمان با ورود به S&P؛ نشت اطلاعات ماه‌ها قبل

هک کوین‌بیس در سایه صعود به S&P؛ افشای نشت اطلاعات ماه‌ها قبل

کاربران کوین‌بیس باید بیش از نشت داده‌ها، از شروع احتمالی هک ماه‌ها قبل نگران باشند. در ۱۵ مه، کوین‌بیس یکی از بزرگ‌ترین صرافی‌های ارز دیجیتال، یک نفوذ گسترده داده‌ای را تأیید کرد که نگرانی‌های زیادی در جامعه رمز ارزها ایجاد کرد.

نحوه رخنه و افشای داده‌ها

این نفوذ نه به دلیل نقص فنی بلکه به دلیل ضعف انسانی و مهندسی اجتماعی رخ داد. مجرمان با رشوه دادن به پیمانکاران شخص ثالث در واحدهای پشتیبانی خارجی، به داده‌های حساس کاربران از سیستم‌های داخلی کوین‌بیس دست یافتند. این افراد حفاظ‌های امنیتی را دور زده و دسترسی مستقیم به پایگاه‌های داده محدودشده را فراهم کردند. کوین‌بیس از طریق پایش‌های داخلی متوجه نفوذ شد اما شواهد نشان می‌دهد که ممکن است این حمله ماه‌ها قبل آغاز شده باشد. افشای عمومی این رخداد در ۱۵ مه و تنها پس از تأیید دسترسی غیرمجاز صورت گرفت که باعث نارضایتی کاربران شد.

میزان تأثیر و نوع داده‌های افشا شده

کمتر از ۱٪ از ۹ میلیون کاربر فعال ماهانه کوین‌بیس تحت تأثیر قرار گرفتند. کوین‌بیس برآورد می‌کند که هزینه رسیدگی به این نفوذ تا ۴۰۰ میلیون دلار شامل جبران خسارت، مخارج اصلاحی و از دست رفتن درآمد باشد. هیچ دارایی رمزارزی، کلید خصوصی، اطلاعات API یا سابقه تراکنش‌ها فاش نشده است. با این حال، داده‌های لو رفته شامل نام‌ها، آدرس‌های ایمیل، شماره تلفن‌ها، نشانی‌های فیزیکی و در برخی موارد جزئی از شماره تامین اجتماعی آمریکاییان است. برخی کاربران نیز در شبکه‌های اجتماعی گزارش داده‌اند که اسناد احراز هویت مانند گذرنامه یا گواهی‌نامه رانندگی ممکن است در دسترس مهاجمان قرار گرفته باشد؛ هرچند کوین‌بیس این موضوع را تأیید نکرده است.

ریسک‌های احتمالی

با وجود اینکه مهاجمان به دارایی کاربران دسترسی پیدا نکرده‌اند، انتشار داده‌های سرقت‌شده ریسک حملات فیشینگ هدفمند، سرقت هویت یا آزار و اذیت را افزایش می‌دهد؛ به‌ویژه برای کاربرانی که نشانی منزلشان لو رفته است.

واکنش بازار و برنامه پاسخ کوین‌بیس

قیمت سهام کوین‌بیس (COIN) در روز اعلام خبر ۷.۲٪ سقوط کرد و پس از رسیدن به کف روزانه ۲۴۱ دلار، با قیمت پایانی ۲۴۴.۴۴ دلار بسته شد. این سقوط پس از اضافه شدن اخیر شرکت به شاخص S&P 500 شدت گرفت که معمولاً نشانه اعتبار نهادی و بلوغ عملیاتی است.

پس از کشف نفوذ، کوین‌بیس طرح واکنش جامعی ارائه داد تا آسیب را محدود کند، حفاظ‌های داخلی را تقویت نماید و به مشتریان آسیب‌دیده کمک کند. این شرکت معتقد است مهاجمان قصد خالی کردن حساب‌ها را نداشتند و صرفاً در حال جمع‌آوری فهرستی از کاربران بودند تا آن‌ها را فریب دهند. به موازات این، خلافکاران درخواست ۲۰ میلیون دلار باج از کوین‌بیس کردند اما شرکت از پرداخت امتناع کرد و به‌جای آن ۲۰ میلیون دلار جایزه برای هر کسی که به دستگیری مهاجمان کمک کند، اعلام کرد.

کوین‌بیس همچنین متعهد شده است تا کاربران فریب‌خورده که به دلیل این حادثه رمزارزهای خود را به کلاهبرداران ارسال کرده‌اند، پس از بررسی مورد به مورد، جبران خسارت نماید.

اقدامات امنیتی جدید

علاوه بر جبران خسارت، کوین‌بیس برای کاربران آسیب‌دیده تدابیر امنیتی جدیدی معرفی کرد. این تدابیر شامل احراز هویت اضافی برای برداشت‌های بزرگ، هشدارهای آگاهی‌بخشی هنگام تراکنش‌های مشکوک و تأخیر عمدی در پردازش تراکنش برای کاربران پرخطر است. همچنین مرکز پشتیبانی جدیدی در آمریکا با نظارت و محدودیت‌های بیشتر راه‌اندازی می‌شود و سرمایه‌گذاری در سیستم‌های تشخیص خودکار تهدید داخلی و آزمون‌های فشار امنیتی با حملات شبیه‌سازی‌شده افزایش یافته است.

کوین‌بیس از کاربران خواسته است تا امکان فهرست‌آفزاری برداشت کیف‌پول، استفاده از کلیدهای سخت‌افزاری برای احراز هویت دومرحله‌ای و قفل موقت حساب در صورت مشاهده هر رفتار مشکوک را فعال کنند.

هشدارهای پیشین محققان مستقل

اوایل سال ۲۰۲۵، محقق بلاک‌چین مستقل ZachXBT درباره موجی از سرقت‌های چند میلیون دلاری از کاربران کوین‌بیس هشدار داد. در فوریه ۲۰۲۵، او و تحلیلگر Tanuki42 با بررسی جریان‌های بلاک‌چین و پیام‌های قربانیان، الگوی مکرری از فریب کاربران توسط تکنیک‌های جعل هویت پیشرفته شناسایی کردند. او نوشت: «این نتیجه مدل‌های ریسک تهاجمی و ناکامی کوین‌بیس در جلوگیری از هدر رفت بیش از ۳۰۰ میلیون دلار سالانه به خاطر حملات مهندسی اجتماعی است.»

یکی از پرونده‌ها مربوط به کاربری بود که حدود ۸۵۰ هزار دلار پس از تماس ظاهراً رسمی از پشتیبانی کوین‌بیس از دست داد. مهاجم با دسترسی به اطلاعات شخصی، شماره تماس و ایمیل جعلی، کاربر را وادار کرد تا آدرس مخرب را در فهرست سفید قرار دهد و وجه را به کیف‌پول تأییدشده منتقل کند. ZachXBT این سرقت را به کیف‌پولی با نام «coinbase-hold.eth» پیوند داد که از بیش از ۲۵ قربانی دیگر نیز پول دریافت کرده بود.

او همچنین به سایت‌ها و پنل‌های مدیریتی جعلی کوین‌بیس در گروه‌های تلگرام اشاره کرد که کلاهبرداران از آن‌ها برای حملات فیشینگ در زمان واقعی بهره می‌بردند. علاوه بر این، نقص‌های فنی مانند پیکربندی نادرست کلیدهای API و باگ‌هایی که کدهای تأیید را به حساب‌های ناموجود می‌فرستادند، از جمله کمبودهای امنیتی داخلی بود که ممکن است به خسارات بیشتر منجر شده باشد.

انتقادات و نگرانی‌های عمومی

پس از افشای هک، چهره‌های برجسته در حوزه رمز ارز و امنیت سایبری از سیاست‌های داخلی کوین‌بیس انتقاد کردند. Adam Cochran، شریک Cinneamhain Ventures، پرسید چگونه شرکتی با منابع و اندازه کوین‌بیس، پروتکل‌های امنیتی اولیه را رعایت نکرده است. او گفت: «هیچ‌یک از سیاست‌های KYC/AML اجازه نمی‌دهد اطلاعات حساس به نمایندگان پشتیبانی در دسترس باشد.»

حقوق‌دان Ariel Givner به زمان‌بندی افشا اشاره کرد و نوشت که ایمیل باج‌خواهی ۱۱ مه ارسال شده اما کاربران تنها پس از امتناع کوین‌بیس از پرداخت، مطلع شدند. دیگر کاربران در شبکه‌های اجتماعی از تماس‌ها و پیام‌های فیشینگ گسترده خبر دادند و Mike Alfred، سرمایه‌گذار مشهور، گفت حتی افراد با دانش فنی بالا مانند یکی از دوستانش که ۳ بیت کوین از دست داده بود، قربانی شده‌اند.

Alex Valaitis، استراتژیست رمز ارز، هشدار داد که لو رفتن نام و آدرس منزل، «هدف دائمی» برای کاربران ایجاد می‌کند و آن‌ها باید همیشه مراقب باشند. این نگرانی با نمونه‌های ربایش و باج‌گیری در فرانسه تشابه دارد که مهاجمان از داده‌های قبلی برای ردیابی و تهدید افراد استفاده کردند.