گزارش تکان‌دهنده: پولشویی رمزارز در چند دقیقه و تهدید بزرگ برای صرافی‌ها

گزارش جدید درباره آسیب‌پذیری صرافی‌های متمرکز در پولشویی رمزارز

یک گزارش جدید از شرکت سوئیسی تحلیل بلاک‌چین Global Ledger نشان می‌دهد که در نیمه اول سال ۲۰۲۵ بیش از ۳.۰۱ میلیارد دلار در ۱۱۹ حمله هک رمزارزی به سرقت رفته است. این رقم حتی از کل سال ۲۰۲۴ هم بیشتر است. نکته نگران‌کننده‌تر، سرعت پولشویی است؛ جایی که مجرمان رمزارزهای سرقت‌شده را در عرض چند دقیقه از طریق میکسرها، پل‌ها و صرافی‌های متمرکز (CEX) جابه‌جا می‌کنند.

طبق این گزارش، پژوهشگران با تحلیل داده‌های درون‌زنجیره‌ای توانستند زمان بین وقوع حمله و پایان شستشوی پول را اندازه‌گیری کنند. یافته‌ها حاکی از آن است که فرآیند پولشویی در بسیاری موارد در همان دقایق ابتدایی و حتی پیش از افشای عمومی هک به پایان می‌رسد. در ۲۳ درصد موارد، پولشویی کامل شده بود پیش از آن‌که قربانی یا عموم از وقوع حمله باخبر شوند. معمولاً وقتی یک هک گزارش می‌شود، پول‌ها دیگر منتقل شده‌اند و شناسایی و بازگرداندن آن‌ها دشوار یا غیرممکن است.

با پیشرفت هکرها و افزایش سرعت عمل آن‌ها در پولشویی، سیستم‌های مقابله با پولشویی (AML) و سرویس‌دهنده‌های مجازی دارایی (VASPs) با چالش جدی مواجه شده‌اند. برخی اوقات پولشویی تقریباً بلافاصله پس از هک انجام می‌شود؛ مثلاً در یکی از سریع‌ترین موارد، انتقال اولیه فقط ۴ ثانیه پس از حمله بود و کل فرآیند طی کمتر از ۳ دقیقه تکمیل شد.

در مجموع، ۳۱.۱ درصد موارد پولشویی در ۲۴ ساعت اول کامل گردید، در حالی که افشای عمومی حمله‌ها به طور متوسط ۳۷ ساعت بعد رخ داد. بنابراین، هکرها به طور میانگین حدود ۲۰ ساعت جلوتر از افشای حمله، پول‌ها را جابه‌جا می‌کنند. در ۶۸.۱ درصد از موارد، پول‌ها قبل از انتشار عمومی خبر هک جابه‌جا شدند و در تقریبا ۲۳ درصد موارد همه پولشویی پیش از افشای داخلی یا عمومی تمام شد. به همین علت، فقط ۴.۲ درصد از رمزارزهای سرقتی در نیمه اول ۲۰۲۵ بازیابی شدند.

این گزارش همچنین نشان می‌دهد که ۱۵.۱ درصد کل رمزارزهای پولشویی‌شده از ابتدای ۲۰۲۵ از طریق صرافی‌های متمرکز (CEX) عبور کرده است و تیم‌های تطبیق و نظارت فقط ۱۰ تا ۱۵ دقیقه وقت دارند تا تراکنش‌های مشکوک را مسدود کنند. صرافی‌های متمرکز همچنان محبوب‌ترین هدف هکرها بوده‌اند و ۵۴.۲۶ درصد کل ضررهای سال ۲۰۲۵ مربوط به همین صرافی‌هاست. این رقم خیلی بیشتر از از دست رفتن توکن‌ها در قراردادهای هوشمند (۱۷.۲ درصد) یا کیف‌پول‌های شخصی (۱۱.۶۷ درصد) است.

با بهبود مهارت هکرها، سیستم‌های مبتنی بر بلیت و گزارش که صرافی‌ها برای مقابله با تخلف استفاده می‌کنند، دیگر کافی نیستند. این گزارش توصیه می‌کند صرافی‌ها باید سامانه‌های خودکار و آنی برای رصد و توقف فعالیت‌های غیرقانونی راه‌اندازی کنند؛ در واقع فقط سرعت با سرعت می‌تواند مقابله کند. اگر پولشویی ظرف چند دقیقه اتفاق می‌افتد، سامانه‌های شناسایی و پاسخ باید همان اندازه سریع باشند.

از طرفی، قوانین جدید مانند قانون Genius که در ۱۸ ژوئیه توسط رئیس‌جمهور آمریکا دونالد ترامپ امضا شد، فشار بیشتری بر صرافی‌ها و خدمات‌دهندگان دارایی دیجیتال وارد می‌کند تا خط‌مشی‌های مقابله با پولشویی و واکنش سریع‌تری داشته باشند.

دادگاه در حال برگزاری توسعه‌دهنده «تورنادو کش» یعنی رومن استورم نیز نشان‌دهنده تغییر دیدگاه قانون‌گذاران نسبت به مسئولیت در صنعت رمزارز است. موضوع اصلی این پرونده این است که آیا توسعه‌دهندگان و پلتفرم‌ها باید مسئول پیشگیری از فعالیت‌های غیرقانونی باشند یا نه؟ بسیاری معتقدند باید مسئول باشند. دادستان‌های آمریکایی در دادگاه گفتند: «استورم توانایی پیاده‌سازی کنترل‌هایی برای جلوگیری از جرایم را داشت، اما تصمیم گرفت این کار را نکند.» یکی از اتهامات استورم توطئه برای پولشویی است و گفته می‌شود پلتفرمش برای شستشوی بیش از یک میلیارد دلار دارایی غیرقانونی از جمله دارایی‌های مرتبط با گروه لازاروس کره شمالی استفاده شده است. او در صورت محکومیت ممکن است به ۴۵ سال زندان محکوم شود.

پرونده استورم می‌تواند یک نقطه عطف برای توسعه نرم‌افزارهای متن‌باز و ابزارهای حفظ حریم خصوصی باشد. بسیاری معتقدند محاکمه یک توسعه‌دهنده به خاطر نوشتن کد، به خصوص برای یک پروتکل غیرمتمرکز، الگویی خطرناک است که می‌تواند نوآوری و آزادی نرم‌افزاری را تهدید کند.