هکرها نشان دادند حتی غول‌های رمزنگاری مثل کوین‌بیس هم مصون نیستند

حملات سایبری به فضای ارزهای دیجیتال پدیده تازه‌ای نیست؛ همین حالا که این گزارش را می‌خوانید، به احتمال زیاد نقطه‌ای دیگر از زنجیره دست‌دوم یا پلتفرمی کوچک‌تر در حال تجربه نفوذ است. اما هرگاه شرکتی که در وال‌استریت پذیرفته شده و در فهرست بزرگ‌ترین صرافی‌های جهان قرار دارد، زیر حمله قرار بگیرد، ابعاد ماجرا متفاوت می‌شود.

چند روز پیش، کوین‌بیس پیامکی دریافت کرد مبنی بر اینکه مهاجمانی دسترسی به انبوهی از داده‌های حساس کاربران یافته‌اند و به عنوان حق السکوت، ۲۰ میلیون دلار بیت‌کوین طلب کردند. هنگامی که جزئیات فاش شد، روشن شد که این حمله با رشوه به نمایندگان پشتیبانی کوین‌بیس در هند کلید خورده است.

چگونگی حمله: از رشوه تا درخواست باج

مهاجمان برای چند ماه، برخی کارمندان بخش پشتیبانی کوین‌بیس را در هند به دریافت مبلغی ناچیز متقاعد کردند تا نام و نشانی، تصاویر کارت‌های شناسایی، موجودی حساب و سابقه تراکنش‌های کاربران را در اختیارشان بگذارند. سپس با این داده‌های حساس وانمود کردند که نماینده رسمی کوین‌بیس هستند و قربانیان را ترغیب کردند «برای حفظ امنیت حساب» ارز دیجیتالشان را به آدرسی جعلی ارسال کنند.

بالاخره روز بیست و یکم می، کوین‌بیس در بیانیه‌ای اعلام کرد که باج‌خواهی را نپذیرفت، اما برای جبران خسارت کاربران وعده بازپرداخت تمام مبلغ‌های از دست رفته و پرداخت ۲۰ میلیون دلار به هر کسی داد که منجر به دستگیری هکرها شود.

ابعاد مالی و رتبه این هک در تاریخ رمزارز

کوین‌بیس هنوز رقم دقیقی از میزان رمزارزهای به سرقت رفته را اعلام نکرده است، اما برآوردهای اولیه نشان می‌دهد هزینه کلی این حمله می‌تواند تا ۴۰۰ میلیون دلار برسد.

بنا بر داده‌های Elliptic، چنین رقمی این نفوذ را به هشتمین هک بزرگ تاریخ رمزنگاری بدل می‌کند. برای شرکتی که تنها یک درصد از کاربران ماهانه‌اش را متأثر دانسته، این حجم از تعهدات مالی ،از بازپرداخت فوری تا جریمه‌های احتمالی تنظیم‌گرها، معنای کاهش ۳ تا ۸ درصدی نسبت به کل هزینه‌های عملیاتی و حتی افت تا ۲۰ درصدی پیش‌بینی درآمد تعدیل‌شده برای سال ۲۰۲۵ را به همراه دارد.

خطر از دست رفتن حریم خصوصی

اما شاید مهم‌تر از رقم دلارها، حجم اطلاعات لو رفته باشد. حریم خصوصی در دنیای ارزهای دیجیتال از اهمیت ویژه‌ای برخوردار است، چرا که انتشار نام و نشانی افراد با دارایی رمزارزی سنگین می‌تواند آنها را در معرض تهدیدهای واقعی قرار دهد.

امسال در فرانسه شاهد ربایش چندین چهره مشهور مرتبط با دنیای رمزنگاری بودیم؛ اتفاقی که به‌خاطر افشای داده‌های خصوصی و نقشه‌های اجرایی افراد رخ داد. حال اگر تصویرها و تاریخچه تراکنش‌های کوین‌بیس به بازار سیاه داده بیاید، زمینه برای حملات فیزیکی و سرقت آرام موجودی کاربران آماده می‌شود.

تکرار الگوی مهندسی اجتماعی

روش به‌کار رفته علیه کوین‌بیس نمونه‌ای از حملات مهندسی اجتماعی است؛ روندی که در سال‌های اخیر به‌سرعت رواج یافته. در فوریه امسال نیز بای بیت، یکی دیگر از صرافی‌های برجسته، شاهد سرقت ۱.۵ میلیارد دلاری بود که از همین شیوه سوءاستفاده می‌کرد: تلاش برای فریب‌دادن کارمندان، به دست آوردن دسترسی به حساب‌های مدیریتی و استخراج کلیدهای ورود.

تبعات مالی و نیاز به سرمایه‌گذاری بیشتر

برای اکسچنج‌های رمزارزی که حاشیه سود پایینی دارند، این حجم از هزینه‌های امنیتی می‌تواند سنگین باشد. کوین‌بیس اکنون باید منابع مالی بیشتری را صرف تقویت تیم‌های نظارتی، آموزش کارکنان و بازسازی سازوکارهای کنترل داخلی کند.

طبق محاسبات تحلیلگران این اقدامات افزایش ۱۰ تا ۲۰ درصدی در هزینه‌های عملیاتی را به دنبال دارد. در نتیجه، شرکت‌هایی در بازار رمزارز که میانه‌ای با پشتوانه‌های مالی عظیم ندارند، ممکن است ورشکسته شوند یا برای حفظ بقای خود مجبور به افزایش کارمزدها شوند.

واکنش کوین‌بیس و جبران خسارات

در واکنش به این بحران، کوین‌بیس وعده داد به همه کاربرانی که دارایی از دست داده‌اند، بازپرداخت کامل ارائه دهد و پاداش ۲۰ میلیون دلاری برای شناسایی عاملان هک تعیین کرده است. همچنین از ۱ درصد کاربران فعال ماهانه خود نام برده که تحت تأثیر قرار گرفته‌اند و تلاش کرده آرامش خاطر را به سرمایه‌گذاران بازگرداند.

جایگاه کوین‌بیس در بورس و آینده سهام

حمله با یک روز بد برای کوین‌بیس هم‌زمان شد، درست پیش از آن که در ۲۹ اردیبهشت (۱۹ مه) در فهرست S&P 500 قرار بگیرد؛ عضویتی که نماد بلوغ این شرکت در بازار سهام محسوب می‌شود.

این تناقض، درس مهمی دارد:

عضویت در جمع سهام بزرگ و رسمی معیاری از امنیت سازمانی نیست. اگرچه حضور در S&P 500 می‌تواند اعتماد سرمایه‌گذاران نهادی را جلب کند، اما تا زمانی که نقاط ضعف داخلی، به‌خصوص در فرآیندهای انسانی، رفع نشوند، سهام این شرکت همچنان در معرض نوسان خواهد ماند.

 سرمایه‌گذاران باید به چه نکاتی توجه کنند؟

برای هر کاربری که در این بازار پرریسک حضور دارد، حفاظت در برابر حملات فنی کافی نیست. باید:

• عبارت بازیابی (seed phrase) هیچ‌گاه در وب‌سایت‌ها یا نرم‌افزارهای ناشناس وارد نشود.
• تأیید هویت چندمرحله‌ای (2FA) برای تمام حساب‌ها فعال گردد.
• آموزش مداوم در مورد روش‌های جدید فیشینگ و مهندسی اجتماعی دریافت شود.
• نرم‌افزارهای امنیتی مانند افزونه‌های مرورگر برای شناسایی سایت‌های جعلی نصب گردد.
• مراقبت از ارتباط با پشتیبانی: هیچ تماس یا ایمیلی بدون تأیید رسمی شرکت جدی گرفته نشود.

کلام آخر

هک کوین‌بیس بار دیگر به ما نشان داد که در نقطه‌ای که فناوری به‌پایان می‌رسد، انسان آغاز می‌شود. رشوه، تهدید و فریب، همه عواملی هستند که می‌توانند قدرتمندترین سازوکارهای فنی را بی‌اثر کنند. برای بقای صرافی‌ها و حفظ سرمایه کاربران، باید صرفاً در دیوارهای دیجیتال سرمایه‌گذاری نکرد، بلکه در پرورش فرهنگ سازمانی قوی، آموزش مستمر کارکنان و سازوکارهای نظارتی شفاف نیز هزینه کرد.

تنها با اتخاذ رویکردی همه‌جانبه است که می‌توان از نفوذ طمع‌کاران به شبکه‌های داخلی سازمان جلوگیری نمود و گامی بلند در جهت امنیت واقعی در دنیای رمزارز برداشت.