جعل هویت کوین‌بیس؛ هنرمند بازنشسته ۲ میلیون دلار BTC و ETH از دست داد

هارمونی

اتریوم

بیت کوین

مفاهیم کلیدی

• کلاهبرداری جعل هویت منجر به سرقت ۱۷.۵ بیت کوین و ۲۲۵ اتریوم شد.

• اطلاعات به‌دست‌آمده از نقض پشتیبانی مشتریان کوین‌بیس افشا شد.

• کوین‌بیس با هزینه ۱۸۰ تا ۴۰۰ میلیون دلار برای جبران خسارت روبه‌رو است.

جعل هویت کوین‌بیس منجر به سرقت بیش از ۲ میلیون دلار BTC و ETH از هنرمند بازنشسته شد

کلاهبرداران با جعل هویت Coinbase بیش از ۲ میلیون دلار ارز دیجیتال از هنرمند بازنشسته اَد سومان سرقت کردند. اطلاعات ممکن است از طریق نقض اخیر پشتیبانی مشتریان این صرافی به‌دست آمده باشد.

به گزارش بلومبرگ، سومان ۶۷ ساله اوایل مارس پس از دریافت پیامکی که ظاهراً از دفتر کوین‌بیس ارسال شده بود و از فعالیت مشکوک روی حسابش هشدار می‌داد، هدف قرار گرفت. هنگامی که او پاسخ داد، فردی که خود را کارمند امنیت Coinbase معرفی کرد با او تماس گرفت و مدعی شد دارایی‌هایش در خطر است، اگرچه این دارایی‌ها به‌صورت آفلاین در کیف‌پول سخت‌افزاری ذخیره شده بودند.

تماس‌گیرنده که خود را "برت میلر" معرفی کرد، با اطلاع از استفاده سومان از کیف‌پول Trezor Model One و مدعی‌بودن آسیب‌پذیری آن، بسیار متقاعدکننده به‌نظر می‌رسید. کلاهبرداری‌های مهندسی اجتماعی اغلب با ایجاد تردید در امنیت کاربر، او را وادار به انجام اقداماتی می‌کنند که در شرایط عادی انجام نمی‌دهد.

در جریان آنچه "بررسی امنیتی" خوانده شد، سومان ترغیب شد عبارت بازیابی (seed phrase) خود را در وب‌سایتی جعلی که شبیه رابط Coinbase طراحی شده بود، وارد کند. نه روز بعد، یک جعل‌کننده دیگر ادعا کرد که رفع مشکل قبلی کارساز نبوده و از سومان خواست این فرایند را تکرار کند. پس از آن، تمام دارایی‌های او شامل ۱۷.۵ بیت کوین و ۲۲۵ اتریوم به ارزش بیش از ۲ میلیون دلار ناپدید شدند.

سومان که نزدیک به دو دهه آثار هنری بزرگ مقیاس خلق می‌کرد و از سال ۲۰۱۷ به سرمایه‌گذاری در کریپتو روی آورده بود، دارایی‌های خود را عمدتاً در ذخیره‌سازی سرد نگهداری می‌کرد تا ریسک‌های مربوط به صرافی‌ها را به حداقل برساند. توانایی کلاهبرداران در اشاره به جزئیاتی مانند نوع کیف‌پول و میزان دارایی سومان، پرسش‌هایی در مورد چگونگی به‌دست آمدن این اطلاعات خاص مطرح کرد.

اکنون به نظر می‌رسد این حمله یکی از حملات متعددی باشد که پس از نقض گسترده‌ای رخ داده است که کوین‌بیس در ۱۵ مه آن را تأیید کرد. این نقض ناشی از یک آسیب‌پذیری فنی نبود، بلکه مهندسی اجتماعی بود. مجرمان به‌طور گزارش‌شده از پیمانکاران پشتیبانی ثالث در هند رشوه گرفتند تا اطلاعات حساس مشتریان از جمله نام، مانده حساب و تاریخچه تراکنش‌ها را افشا کنند.

در برخی موارد حتی بخش‌هایی از شماره تأمین اجتماعی و اسناد Know Your Customer نیز در دسترس قرار گرفته است. کوین‌بیس اعلام کرد این نفوذ از طریق مانیتورینگ داخلی شناسایی شده، اما شواهد حاکی از آن است که ممکن است از ژانویه آغاز شده باشد؛ ماه‌ها قبل از افشای عمومی.

علاوه بر این، مهاجمان برای جلوگیری از نشر داده‌های سرقت‌شده، کوین‌بیس را به پرداخت ۲۰ میلیون دلار باج تهدید کردند که شرکت از انجام آن خودداری کرد. طبق اعلام کوین‌بیس، کمتر از ۱٪ از کاربران فعال ماهانه تحت تأثیر قرار گرفتند، اما این رقم هنوز معادل ده‌ها هزار حساب است.

یکی از قربانیان مشهور، رولف بوتها، شریک مدیر Sequoia Capital بود که اطلاعات شخصی‌اش نیز لو رفته است. این صرافی اکنون با برآورد هزینه‌ای بین ۱۸۰ تا ۴۰۰ میلیون دلار برای جبران خسارت و ترمیم سیستم‌ها روبه‌روست.

گرچه کوین‌بیس متعهد شده قربانیان حملات مرتبط با این نقض را جبران کند، سومان به بلومبرگ گفته هنوز تأییدیه‌ای مبنی بر جبران خسارت خود دریافت نکرده است.