درس‌هایی از هک بای‌بیت؛ ۹ راهکار کلیدی برای محافظت امن از ارزهای دیجیتال!

هک صرافی بای‌بیت (Bybit) در ماه فوریه ۲۰۲۴، زنگ خطری برای فعالان بازار ارزهای دیجیتال بود؛ رویدادی که از آن به عنوان بزرگ‌ترین سرقت تاریخ یاد می‌شود. این رخداد، نه تنها ابعاد آسیب‌پذیری صرافی‌ها را آشکار کرد، بلکه پرسش‌های مهمی را درباره امنیت دارایی‌های دیجیتال مطرح ساخت. این مقاله که توسط وب‌سایت شرکت امنیت سایبری کسپرسکی (Kaspersky) منتشر شده، به نحوه دقیق هک بای‌بیت نگاهی دارد و با ارائه راهکارهای عملی برای کاربران عادی و سرمایه‌گذاران خرد، سعی می‌شود تا به کاربران کمک کرده تا از سرمایه خود در برابر تهدیدات سایبری محافظت کنند.

چگونه بای‌بیت هک شد؟

مانند تمام صرافی‌های بزرگ ارزهای دیجیتال، بای‌بیت ارزهای ذخیره شده را با محافظت چندلایه ایمن می‌کند. بیشتر دارایی‌ها در کیف پول‌های سرد (Cold Wallets) که از سیستم‌های آنلاین جدا هستند، نگهداری می‌شوند. وقتی دارایی‌های جاری نیاز به تقویت دارند، مبلغ مورد نیاز به صورت دستی از کیف پول سرد به کیف پول داغ (Hot Wallet) منتقل می‌شود و عملیات توسط چندین کارمند به طور همزمان امضا می‌شود.

بای‌بیت برای این کار از یک کیف پول چند امضایی (Multisig) از کیف پول امن (Safe Wallet) استفاده می‌کند و هر کارمند درگیر در تراکنش، آن را با استفاده از یک کلید رمزنگاری سخت‌افزاری لجر (Ledger) خصوصی امضا می‌کند.

مهاجمان سیستم را به طور دقیق مطالعه کردند و طبق گفته محققان مستقل، یک دستگاه توسعه‌دهنده کیف پول امن را به خطر انداختند. احتمالاً تغییرات مخربی در کد نمایش صفحات وب اپلیکیشن آن ایجاد شده بود و صاحبان کیف پول امن پس از انجام تحقیقات خود، یافته‌های دو شرکت مستقل امنیت اطلاعات را رد کردند و اصرار داشتند که زیرساخت آن‌ها هک نشده است.

پس چه اتفاقی افتاد؟

در طول یک شارژ معمولی ۷ میلیون دلاری از کیف پول سرد به کیف پول داغ، کارمندان بای‌بیت روی صفحه نمایش رایانه‌های خود دقیقاً همین مبلغ و آدرس گیرنده را دیدند که با آدرس کیف پول داغ مطابقت داشت. اما اطلاعات دیگری برای امضا ارسال شد! برای انتقال‌های معمولی، آدرس گیرنده می‌تواند (و باید!) روی صفحه نمایش دستگاه لجر بررسی شود. اما هنگام امضای تراکنش‌های چند امضایی، این اطلاعات نمایش داده نمی‌شود، بنابراین کارمندان بای‌بیت اساساً یک انتقال کور انجام دادند.

در نتیجه، آن‌ها ناخواسته یک قرارداد هوشمند مخرب را تأیید کردند که کل محتویات یکی از کیف پول‌های سرد بای‌بیت را به چندصد کیف پول جعلی منتقل کرد. به محض تکمیل برداشت از کیف پول بای‌بیت، به نظر می‌رسد که کد موجود در وب‌سایت کیف پول امن به نسخه بی‌ضرر بازگشت. مهاجمان در حال حاضر مشغول لایه‌بندی یا انتقال آن به صورت قطعات کوچک در تلاش برای پولشویی اتریوم (Ethereum) سرقت‌شده هستند و تقریبا اکثر اتریوم‌های دزدیده شده را نیز پولشویی کرده‌اند. به نظر می‌رسد بای‌بیت و مشتریان آن قربانی یک حمله هدفمند زنجیره تأمین (Supply-Chain Attack) شده‌اند.

حمله به بای‌بیت یک مورد استثنایی نیست

شرکت کسپرسکی می‌گوید که اف‌بی‌آی (FBI) رسماً یک گروه کره شمالی با نام رمز تریدرتریتر (TraderTraitor) را به عنوان عامل این جرم معرفی کرده است. در محافل امنیت اطلاعات، این گروه با نام‌های لازاروس (Lazarus)، APT۳۸ یا بلونوروف (BlueNoroff) نیز شناخته می‌شود. سبک مشخصه آن‌ها حملات مداوم، پیچیده و مستمر در حوزه ارزهای دیجیتال است: هک کردن توسعه‌دهندگان کیف پول، سرقت از صرافی‌های ارز دیجیتال، دزدی از کاربران عادی و حتی ساخت بازی‌های جعلی بازی برای کسب درآمد (Play-to-Earn).

پیش از حمله به بای‌بیت، رکورد این گروه سرقت ۵۴۰ میلیون دلار از بلاک چین رونین نتورکس (Ronin Networks) بود که برای بازی اکسی اینفینیتی (Axie Infinity) ایجاد شده بود. در آن حمله ۲۰۲۲، هکرها رایانه یکی از توسعه‌دهندگان بازی را با استفاده از یک پیشنهاد شغلی جعلی در یک فایل PDF آلوده، آلوده کردند. این تکنیک مهندسی اجتماعی تا به امروز در زرادخانه گروه باقی مانده است.

در می ۲۰۲۴، این گروه بیش از ۳۰۰ میلیون دلار را از صرافی ارز دیجیتال DMM Bitcoin ژاپن به سرقت برد که در نتیجه آن ورشکست شد. پیش از آن، در سال ۲۰۲۰، بیش از ۲۷۵ میلیون دلار از صرافی ارز دیجیتال کوکوین (KuCoin) ربوده شد که دلیل آن «نشت کلید خصوصی» برای یک کیف پول داغ ذکر شده بود.

لازاروس بیش از یک دهه است که تاکتیک‌های سرقت ارزهای دیجیتال خود را صیقل می‌دهد. در سال ۲۰۱۸، ما درباره مجموعه‌ای از حملات به بانک‌ها و صرافی‌های ارز دیجیتال با استفاده از یک برنامه معاملاتی ارز دیجیتال تروجانی به عنوان بخشی از عملیات اپل جئوس (Operation AppleJeus) نوشتیم. کارشناسان الیپتیک (Elliptic) تخمین می‌زنند که کل درآمد مجرمانه بازیگران مرتبط با کره شمالی حدود ۶ میلیارد دلار است.

بیشتر بخوانید: هکرهای کره شمالی چطور ۴۰۰,۰۰۰ اتریوم از کیف پول صرافی Bybit دزدیدند؟

سرمایه‌گذاران ارز دیجیتال چه باید بکنند؟

در مورد بای‌بیت، مشتریان خوش‌شانس بودند: صرافی فوراً به موج درخواست‌های برداشت که به دنبال آن آمد، رسیدگی کرد و قول داد که خسارات را از وجوه خود جبران کند. بای‌بیت همچنان به فعالیت خود ادامه می‌دهد، بنابراین مشتریان نیازی به انجام اقدامات خاصی ندارند.

اما این هک بار دیگر نشان می‌دهد که ایمن‌سازی وجوه در سیستم‌های بلاک چین چقدر دشوار است و چقدرامکان لغو یک تراکنش یا بازپرداخت پول تا حد زیادی ناممکن است. با توجه به مقیاس بی‌سابقه حمله، بسیاری خواستار بازگشت بلاک چین اتریوم به وضعیت قبل از هک شده‌اند، اما توسعه‌دهندگان اتریوم این کار را «از نظر فنی غیرقابل دستیابی» می‌دانند. در همین حال، بای‌بیت یک برنامه جایزه برای صرافی‌های ارز دیجیتال و محققان اخلاق‌مدار به میزان ۱۰ درصد از هر وجه بازیابی‌شده اعلام کرده است، اما تاکنون فقط ۴۳ میلیون دلار از وجوه مسروقه بازگشته است.

این باعث شده برخی کارشناسان صنعت ارزهای دیجیتال حدس بزنند که پیامد اصلی این هک، افزایش خودنگهداری (Self-Custody) دارایی‌های ارز دیجیتال خواهد بود.

خودنگهداری مسئولیت ذخیره‌سازی امن را از دوش متخصصان به دوش خودتان منتقل می‌کند. بنابراین، فقط در صورتی به این مسیر بروید که اطمینان کامل به توانایی‌های خود برای تسلط بر تمام اقدامات امنیتی و پیروی سختگیرانه از آن‌ها روز به روز داشته باشید. توجه داشته باشید که کاربران معمولی بدون کیف پول ارز دیجیتال چند میلیون دلاری، احتمالاً با حمله پیچیده‌ای که به طور خاص هدف آن‌ها باشد، مواجه نخواهند شد، در حالی که دفع حملات عمومی انبوه آسان‌تر است.

توصیه‌های کلیدی کسپرسکی برای خودنگهداری امن ارزهای دیجیتال

در چنین شرایطی شرکت امنیت سایبری برجسته کسپرسکی ۹ توصیه کلیدی برای نگهداری امن از ارزهای دیجیتال توسط کاربران عادی را دارد و در صورتی که کسی مایل است خودش از دارایی‌هایش محافظت و نگهداری کند، باید این ۹ مورد را برای تامین امنیت آنها حتما مدنظر داشته باشد:

1. خرید کیف پول سخت‌افزاری دارای صفحه نمایش: این مؤثرترین راه برای محافظت از دارایی‌های ارز دیجیتال است. کمی تحقیق کنید و حتماً کیف پول را از یک فروشنده معتبر و به طور مستقیم خریداری کنید، هرگز دست دوم نخرید. در غیر این صورت، ممکن است یک کیف پول از پیش هک شده دریافت کنید که تمام وجوه شما را می‌بلعد. هنگام استفاده از کیف پول برای امضای انتقال‌ها، همیشه آدرس گیرنده را هم روی صفحه نمایش کامپیوتر و هم روی صفحه نمایش کیف پول بررسی کنید تا از جایگزینی آن توسط یک قرارداد هوشمند مخرب یا یک تروجان کلیپر که آدرس‌های کیف پول ارز دیجیتال را در کلیپ‌بورد جایگزین می‌کند، جلوگیری شود.
2. هرگز عبارات بازیابی کیف پول را به صورت الکترونیکی ذخیره نکنید: استفاده از فایل‌ها در رایانه و عکس‌ها در گالری خود را فراموش کنید، تروجان‌های مدرن یاد گرفته‌اند به گوگل پلی و اپ استور نفوذ کنند و داده‌ها را در عکس‌های ذخیره شده در گوشی هوشمند شما تشخیص دهند. فقط سوابق کاغذی (یا حکاکی‌های فلزی) نگهداری شده در گاوصندوق یا مکان امن فیزیکی دیگری که از دسترسی غیرمجاز و بلایای طبیعی محافظت می‌شود، کافی خواهد بود. می‌توانید چندین مکان ذخیره‌سازی در نظر بگیرید و همچنین عبارت بازیابی خود را به قسمت‌های مختلف تقسیم کنید.
3. همه سکه‌های خود را در یک سبد نگذارید: برای دارندگان مقادیر بزرگ یا انواع مختلف دارایی‌های ارز دیجیتال، استفاده از چندین کیف پول منطقی است. مقادیر کم برای نیازهای تراکنش می‌تواند در یک صرافی ارز دیجیتال ذخیره شود، در حالی که بخش عمده می‌تواند بین چندین کیف پول ارز دیجیتال سخت‌افزاری تقسیم شود.
4. از یک رایانه اختصاصی استفاده کنید: در صورت امکان، یک رایانه را برای تراکنش‌های ارز دیجیتال اختصاص دهید. دسترسی فیزیکی به آن را محدود کنید (مثلاً در گاوصندوق، کمد یا اتاق قفل شده قرار دهید)، از رمزنگاری دیسک و ورود با رمز عبور استفاده کنید و حساب جداگانه با رمزهای عبور خود (متفاوت از رایانه اصلی) داشته باشید. محافظت قابل اعتماد نصب کنید و حداکثر تنظیمات امنیتی را فعال کنید. فقط برای تراکنش‌ها به اینترنت متصل شوید و فقط برای عملیات با کیف پول‌ها استفاده کنید. بازی کردن، خواندن اخبار ارز دیجیتال و چت با دوستان برای دستگاه دیگری است.
5. اگر رایانه اختصاصی ممکن نبود چه؟ اگر اختصاص یک رایانه غیرعملی یا غیراقتصادی است، بهداشت دیجیتال سختگیرانه را در رایانه اصلی خود حفظ کنید. یک حساب جداگانه با امتیازات کم (غیر ادمین) برای عملیات ارز دیجیتال و حساب دیگری (همچنین غیر ادمین) برای کار، چت و بازی‌ها تنظیم کنید. نیازی به کار در حالت ادمین نیست، مگر برای به‌روزرسانی نرم‌افزار سیستم یا پیکربندی مجدد قابل توجه رایانه. فقط برای عملیات با کیف پول‌ها به حساب ارز دیجیتال اختصاصی خود وارد شوید و بلافاصله پس از آن خارج شوید. به افراد دیگر هم اجازه دسترسی به رایانه ندهید و رمزهای عبور ادمین را نیز با کسی به اشتراک نگذارید.
6. هنگام انتخاب نرم‌افزار کیف پول ارز دیجیتال مراقب باشید: توضیحات نرم‌افزار را با دقت مطالعه کنید، مطمئن شوید که برنامه مدت‌هاست در بازار است و مطمئن شوید که آن را از وب‌سایت رسمی دانلود می‌کنید و امضای دیجیتال توزیع با وب‌سایت و نام فروشنده مطابقت دارد. قبل از نصب و اجرای نرم‌افزار کیف پول ارز دیجیتال، یک اسکن عمیق از رایانه خود با یک راه‌حل امنیتی به‌روز انجام دهید.
7. مراقب به‌روزرسانی‌ها باشید: اگرچه معمولاً توصیه می‌شود که همه نرم‌افزارها را فوراً به‌روز کنید، در مورد برنامه‌های ارز دیجیتال، کمی تعدیل این سیاست ارزش دارد. پس از انتشار نسخه جدید، حدود یک هفته صبر کنید و قبل از نصب، نظرات را بخوانید.
8. منتظر فیشینگ باشید: کلاهبرداری ارز دیجیتال می‌تواند هم چندوجهی و هم پیچیده باشد، بنابراین هرگونه پیام غیرمنتظره از طریق ایمیل، پیام‌رسان و مانند آن باید به عنوان شروع یک کلاهبرداری دیده شود. از آخرین کلاهبرداری‌های ارز دیجیتال با دنبال کردن وبلاگ یا کانال تلگرام کسپرسکی و سایر منابع معتبر امنیت سایبری مطلع شوید.
9. اقدامات امنیتی پیشرفته رایانه را دنبال کنید: سیستم عامل و مرورگرهای خود را به طور منظم به‌روز کنید و از رمزهای عبور قوی و منحصر به فرد استفاده کنید. یک راه‌حل امنیتی قدرتمند مانند کسپرسکی پریمیوم (Kaspersky Premium) را روی رایانه و گوشی هوشمند خود نصب کنید.

نتیجه‌گیری

هک بای‌بیت نشان می‌دهد که حتی پیشرفته‌ترین سیستم‌های امنیتی نیز در برابر حملات هدفمند آسیب‌پذیر هستند. این حادثه همچنین اهمیت استفاده از کیف پول‌های سخت‌افزاری، ذخیره‌سازی امن عبارات بازیابی و اتخاذ اقدامات امنیتی دقیق را برای همه دارندگان ارزهای دیجیتال برجسته می‌کند.

به عنوان سرمایه‌گذار ارز دیجیتال، گرچه نمی‌توانید از هر حمله‌ای جلوگیری کنید، اما با پیروی از اصول امنیتی مذکور، می‌توانید به طور قابل توجهی خطر از دست دادن دارایی‌های خود را کاهش دهید. به یاد داشته باشید: در دنیای غیرمتمرکز ارزهای دیجیتال، امنیت نهایی دارایی‌های شما به عهده خودتان است.