10 دقیقه
سرقت رمزارز در ژانویه: ۳۷۰.۳ میلیون دلار و فیشینگ
زیانهای رمزارز ناشی از کلاهبرداریها و سوءاستفادههای امنیتی در ماه ژانویه به حدود 370.3 میلیون دلار رسید، که بالاترین رقم ماهانه در 11 ماه گذشته و افزایش قابلتوجهی نسبت به دورههای پیشین را نشان میدهد. شرکت امنیتی CertiK گزارش داد که این مقدار بهطور سالانه بیش از 277٪ افزایش و نسبت به دسامبر 214٪ رشد دارد و بیشتر این ارزش به یک حادثه موفق مهندسی اجتماعی نسبت داده شده است.
از مجموع 40 حادثه سوءاستفاده و کلاهبرداری ثبتشده در ژانویه، گزارشها نشان میدهد یک قربانی تنها حدود 284 میلیون دلار از دست داد که قربانی یک حمله پیچیده مهندسی اجتماعی شده بود. بهطور کلی، فیشینگ و کلاهبرداریهای مرتبط با مهندسی اجتماعی بهعنوان بردار حمله غالب در ژانویه عمل کردند و در مجموع حدود 311.3 میلیون دلار از سرمایههای مسروقه را تشکیل دادند.
زمینه: بزرگترین زیان ماهانه از اوایل 2025
مجموع ژانویه بزرگترین زیان ماهانه از فوریه 2025 است؛ زمانی که مهاجمان حدود 1.5 میلیارد دلار را بهدست آوردند که بخش بزرگی از آن (حدود 1.4 میلیارد دلار) به نقض زیرساختهای صرافی نسبت داده شد. این جهش اخیر نشان میدهد که روشهای فیشینگ و تصاحب حساب هنوز در برابر دارندگان نهادی و خرد رمزارز بسیار مؤثر هستند و میتوانند زیانهای گستردهای ایجاد کنند.
حملات برجسته ژانویه: Step Finance و Truebit جزو بزرگترین زیانها
ناظر مستقل امنیتی PeckShield نفوذ به Step Finance را بهعنوان بزرگترین هک ژانویه شناسایی کرد. مهاجمان کنترل چندین کیفپول خزانه را بهدست آورده و حدود 28.9 میلیون دلار برداشت کردند و بیش از 261,000 واحد SOL را از داراییهای مبتنی بر سولانا خارج کردند. این رخداد نمونهای از ترکیب ضعف در مدیریت کلیدها، دسترسیهای عملیاتی و پیامدهای ناشی از دسترسی غیرمجاز به کیفپولهای خزانهای است.
منبع: PeckShieldAlert
حوادث قابلتوجه دیگر
شرکتهای امنیتی همچنین یک آسیبپذیری قرارداد هوشمند در پروتکل Truebit را که در 8 ژانویه کشف شد، پرچمگذاری کردند؛ این آسیبپذیری به مهاجم اجازه داد توکنها را با هزینه نزدیک به صفر مینت کند و در نتیجه حدود 26.4 میلیون دلار زیان و سقوط شدید قیمت توکن Truebit (TRU) را بههمراه داشت. دیگر سوءاستفادههای قابلتوجه شامل زیان 13.3 میلیون دلاری در ارائهدهنده نقدینگی SwapNet در 26 ژانویه و یک سوءاستفاده حدود 7 میلیون دلاری علیه پروتکل Saga در 21 ژانویه بود.
PeckShield در ژانویه 16 هک تأییدشده با مجموع 86.01 میلیون دلار ثبت کرد — رقمی که نسبت به سال قبل کمی کاهش نشان میدهد اما نسبت به دسامبر افزایش داشته است — که نشان میدهد در حالی که حملات مستقل قراردادهای هوشمند هنوز هزینهبر هستند، کلاهبرداریهای فیشینگ و مهندسی اجتماعی بزرگترین زیانهای تکرویدادی ماه را تولید کردهاند.
چشمانداز امنیتی و بهترین شیوهها برای کاربران رمزارز
این حوادث خطرات پایدار در اکوسیستم رمزارز را برجسته میکنند: فیشینگ، مهندسی اجتماعی، کلیدهای خصوصی بهخوبی محافظتنشده و قراردادهای هوشمند قابلسواستفاده. برای کاهش مواجهه با این تهدیدات، کارشناسان مجموعهای از تدابیر امنیتی را توصیه میکنند که ترکیبی از محافظت فنی، فرآیندهای سازمانی و آموزش کارکنان را در بر میگیرد.
پیشنهادات کلیدی شامل استفاده از کیفپولهای سختافزاری (hardware wallets) برای نگهداری داراییهای بلندمدت، ساختارهای نگهداری چندامضایی (multi-signature) برای خزانهها و داراییهای سازمانی، و انجام حسابرسیهای کد (code audits) بهصورت منظم و جامع است. همچنین پیادهسازی مکانیزمهای بازیابی حساب مقاوم در برابر فیشینگ (phishing-resistant account recovery)، پروسههای سختگیرانه مدیریت کلید (key management)، و سیاستهای امنیت عملیاتی (operational security) برای تیمهایی که داراییهای بزرگ را مدیریت میکنند، حیاتی است.
با افزایش زیانها، صرافیها، پلتفرمهای دیفای و کاربران باید اولویت خود را روی امنیت لایهای (defense-in-depth) و مانیتورینگ بلادرنگ قرار دهند تا با تاکتیکهای فزاینده پیچیده مهاجمان مقابله کنند. این شامل تحلیل تراکنشهای زنجیرهای (on-chain analytics)، هشدارهای رفتاری و ابزارهای تشخیص نفوذ میشود که میتوانند حملات را در مراحل اولیه شناسایی و مهار کنند.
تحلیل فنی و جزئیات حملات
برای درک بهتر اینکه چرا فیشینگ و مهندسی اجتماعی تا این حد موفق بودهاند، باید به ترکیب عواملی که مهاجمان از آن سوءاستفاده میکنند توجه کنیم. در بسیاری از موارد، مهاجمان با جمعآوری اطلاعات عمومی (OSINT)، اجرای حملات هدفمند ایمیل یا پیامرسانی (spear-phishing)، ساخت سایتهای جعلی یا کیفپولهای کلونشده و گاهی بهرهگیری از نواقص زنجیرهای-خارجی (off-chain) مانند درز API یا دسترسیهای مدیریتی، گام به گام اعتماد و دسترسی قربانی را بهدست میآورند.
در برخی رخدادها، مهاجمان از تاکتیکهای ترکیبی استفاده میکنند: ابتدا یک حساب کلیدی یا دسترسی مدیریتی را هدف میگیرند، سپس با تغییردهی پارامترها یا امضای تراکنشهای بزرگ، داراییها را به کیفپولهای تحت کنترل خود منتقل میکنند. اگر کیفپولهای مقصد از خدمات میکسینگ یا صرافیهای کمقانونی استفاده کنند، ردگیری و بازیابی داراییها به مراتب دشوارتر میشود.
در مورد حملات به قراردادهای هوشمند، اشکالات منطقی در طراحی قرارداد، استثناءهای نامناسب در مدیریت توکن، تابعهای مینت یا سوزاندن با دسترسیهای بیشازحد، و اشتباهات در پیادهسازی استانداردهای توکن (ERC20/ERC721 و غیره) معمولاً مقصر شناخته میشوند. برخی راهکارها مانند بررسیهای رسمی (formal verification)، آزمونهای fuzzing و برنامههای جایزهای باگ (bug bounty) بهطور مداوم رواج یافتهاند، اما اجرای کامل و پیوسته آنها هنوز در بسیاری از پروژهها محدود است.
اقدامات فنی توانمندساز برای کاهش ریسک
از منظر فنی، ترکیب زیر برای بسیاری از سازمانها و کاربران پیشرفته توصیه میشود:
- کیفپول سختافزاری: نگهداری کلیدهای خصوصی در دستگاههای جداشده از اینترنت با استفاده از راهکارهای شناختهشده مانند Ledger یا Trezor.
- چندامضایی و MPC: استفاده از قراردادها یا سیستمهای مدیریت کلید مبتنی بر چند امضایی (Gnosis Safe) یا محاسبات چندطرفه (MPC) برای جلوگیری از تک نقطه شکست.
- کلیدهای مدیریتی جدا از عملیات روزمره: طراحی سلسلهمراتب دسترسی که دسترسی امضای بزرگ را محدود کند و نیازمند تأیید چندین نفر شود.
- حسابرسیهای منظم کد: تلفیق تستهای خودکار، fuzzing، و حسابرسی دستی توسط شرکتهای معتبر امنیتی.
- قراردادهای ارتقاپذیر با مکانیزمهای محافظتشده: بهکارگیری timelock، admin-less patterns یا حاکمیت شفاف برای کاهش ریسک سوءاستفاده از سازوکارهای ارتقا.
این مجموعه اقدامها وقتی با آموزش ضدفیشینگ، سیاستهای IAM (Identity and Access Management) و بررسی دقیق دسترسیهای API ترکیب شوند، میتوانند میزان موفقیت مهاجمان را بهطور چشمگیری کاهش دهند.
فرآیندهای سازمانی و سیاستگذاری
علاوه بر اقدامات فنی، سیاستها و فرهنگ سازمانی نقش بسیار مهمی در کاهش ریسک دارند. نکات راهبردی شامل موارد زیر است:
- آموزش دورهای کارکنان درباره فیشینگ، حملات مهندسی اجتماعی و پیامدهای آنها؛
- اجرای اصل حداقل دسترسی (least privilege) برای تمام حسابها و سرویسها؛
- مانیتورینگ و گزارشدهی شفاف رخدادهای امنیتی و برنامه تمرینات پاسخ به حادثه (incident response drills)؛
- برآورد و بیمه ریسک: ارزیابی هزینههای احتمالی هک و استفاده از پوششهای بیمهای مناسب برای داراییهای دیجیتال؛
- طراحی طرح بازیابی و تعامل با نهادهای حقوقی و صرافیها برای بهبود شانس بازیابی داراییها پس از حمله.
ترکیب این سیاستها با دسترسی به خدمات تحلیل زنجیرهای (chain analysis) و همکاری با نهادهای قانونگذاری میتواند مسیر پیگیری وجوه سرقتشده را سادهتر کند و احتمال بازیابی را افزایش دهد.
نقش صرافیها و پلتفرمهای دیفای
صرافیها و پروتکلهای دیفای نقشی محوری در امنیت بازار رمزارز دارند. آنها باید ضمن اجرای فرآیندهای KYC/AML برای جلوگیری از پولشویی، از راهکارهای امنیتی پیشرفته و مانیتورینگ تراکنشها استفاده کنند. اقدامات مؤثر شامل قرار دادن محدودیتهای برداشت مبتنی بر ریسک، صفهای برداشت با بررسی دستی برای تراکنشهای بزرگ، و ادغام با سرویسهای تحلیل زنجیرهای برای شناسایی الگوهای مشکوک است.
پلتفرمهای دیفای نیز با پیادهسازی مکانیسمهای محافظتی مانند timelocks برای تراکنشهای بزرگ، استفاده از اوراکلهای معتبر، و محدودیت در قابلیت ارتقا قراردادها میتوانند آسیبپذیریهای خود را کاهش دهند. همچنین همکاری با شرکتهای فضای امنیتی برای آزمایش نفوذ (pen testing) و گزارشدهی شفاف درباره نتایج میتواند اعتماد کاربران را افزایش دهد.
چگونه کاربران عادی محافظت کنند
برای کاربران خرد که منابع محدودی دارند، سادهترین و مؤثرترین گامها عبارتاند از:
- استفاده از کیفپول سختافزاری برای داراییهای با ارزش؛
- عدم کلیک روی لینکهای ناشناس، بررسی دقیق آدرسهای وب و توکنهای ادعایی در ایردراپها؛
- فعالسازی احراز هویت دو مرحلهای (2FA) با اپلیکیشنهای مبتنی بر تایم (TOTP) و پرهیز از SMS برای 2FA وقتی امکانپذیر است؛
- آگاهی از روشهای فیشینگ جدید مثل کلون کردن کیفپولها، برنامههای موبایل جعلی و پیامهای هدفدار در شبکههای اجتماعی؛
- نگهداری نسخه امن و جداگانه از seed phrase و عدم ذخیره آن بهصورت دیجیتال در محیطهای متصل به اینترنت.
این اقدامات ابتدایی میتواند شانس فریبخوردن در حملات فیشینگ را بهصورت چشمگیری کاهش دهد و یک لایه محافظت ساده اما مؤثر ایجاد کند.
نتیجهگیری و چشمانداز آینده
مجموعه رویدادهای ژانویه یک بار دیگر نشان میدهد که اکوسیستم رمزارز با تهدیدات متنوعی روبهروست که از حملات پیچیده مهندسی اجتماعی تا سوءاستفادههای فنی از قراردادهای هوشمند را شامل میشود. افزایش قابلتوجه میزان سرقتها در این ماه بهویژه بر اهمیت پیادهسازی راهکارهای امنیتی چندلایه، آموزش مستمر و همکاری میان نهادهای امنیتی، پلتفرمها و کاربران تأکید دارد.
در آینده، انتظار میرود که تکنیکهای شناسایی تقلب پیشرفتهتر، استانداردهای امنیتی قویتر برای قراردادهای هوشمند و کاربرد گستردهتر راهکارهای چندامضایی و MPC بهعنوان خط دفاعی اصلی ظهور کنند. با این حال، چالش بزرگ همچنان روند تطبیق کاربران و تیمهای توسعه با بهترین شیوههای امنیتی و کاهش نقاط ضعف انسانی است. آموزش و آگاهی کاربران، همراه با تضمین فنی و سازمانی، بهترین مسیر برای کاهش ریسکهای مرتبط با فیشینگ، مهندسی اجتماعی و هکهای قراردادهای هوشمند است.
منابع و ناظران مطرح مانند CertiK و PeckShield بهعنوان منابع اطلاعاتی برای تحلیل رویدادها و ارائه هشدارهای امنیتی عمل میکنند، اما موفقیت واقعی در تابآوری اکوسیستم از ترکیب سیاستهای پیشگیرانه، فناوریهای حفاظتی و همکاری مؤثر میان بازیگران مختلف حاصل میشود.
منبع: cointelegraph
نظرات
آرمین
زیاد رسانهای شده، اما حرفم اینه، بعضی پروژهها فقط شعار میدن، حسابرسی کجاست؟ گزارش شفاف لازمِ
مسیرمن
خلاصه: لایههای امنیتی، مانیتورینگ بلادرنگ و آموزش؛ عالیه، ولی سوال اینه ، اجراش چطوریه؟
توربو
تو شرکت قبلیم هم یکی با phishing همه رو دور زد، دیدم چطور یه کلید مدیریت ضعیف کارو خراب میکنه, hardware wallet باید اجباری باشه
کوینپالس
این آمار قابل اعتماده؟ بیشترش یه نفر ۲۸۴ میلیون از دست داده، یعنی همچین چیزی واقعا ممکنه ؟
ارسال نظر