ماجرای هک ۱۴.۵ میلیارد دلاری استخر «لوبیان»؛ آیا ایران هم متحمل ضرر شده؟

گاهی بزرگترین رویدادها سال‌ها در سکوت و گمنامی مدفون می‌مانند. پلتفرم تحلیل آن-چین «آرکهام» (Arkham) به تازگی از پرونده‌ای غبار گرفته پرده‌برداری کرده است که عنوان «بزرگترین سرقت تاریخ بیت کوین» را به خود اختصاص می‌دهد. این افشاگری مربوط به هک استخر استخراج چینی-ایرانی «لوبیان» (LuBian) در دسامبر ۲۰۲۰ است؛ سرقتی به ارزش اولیه $3.5 میلیارد دلار که ارزش امروز آن از $14.5 میلیارد دلار فراتر رفته و پرسش‌های جدی در مورد امنیت زیرساخت‌های حیاتی کریپتو مطرح می‌کند.

لوبیان که بود و چرا ناپدید شد؟

برای درک مقیاس این فاجعه، باید به سال ۲۰۲۰ بازگردیم. لوبیان یک استخر استخراج قدرتمند با تاسیساتی در چین و ایران بود که در دوران اوج خود، نزدیک به ۶٪ از کل هش ریت شبکه بیت کوین را در اختیار داشت. این تسلط، لوبیان را به یکی از مهره‌های کلیدی در اکوسیستم استخراج جهانی تبدیل کرده بود. با این حال، در اوایل سال ۲۰۲۱، این غول استخراج به طور ناگهانی و مرموزی فعالیت خود را متوقف کرد. در آن زمان، بسیاری از تحلیلگران این تعطیلی را به فشارهای نظارتی و سرکوب ماینینگ در چین نسبت دادند. اما گزارش جدید آرکهام روایتی تکان‌دهنده‌تر را آشکار می‌کند: دلیل اصلی این ناپدید شدن، یک ورشکستگی امنیتی فاجعه‌بار و سرقتی بوده که تمام بنیان مالی شرکت را از بین برده است.

تشریح یک سرقت بی‌سابقه در سکوت کامل

بر اساس داده‌های دقیق بلاکچین، عملیات هکرها در دو مرحله و با سرعتی ویرانگر انجام شد. در تاریخ ۲۸ دسامبر ۲۰۲۰، مهاجمان با بهره‌گیری از یک آسیب‌پذیری حیاتی، موفق شدند $127,426$ واحد بیت کوین را از کیف پول‌های اصلی لوبیان به سرقت ببرند.

این حجم از دارایی در آن زمان ارزشی معادل $3.5$ میلیارد دلار داشت. حمله به همین جا ختم نشد و روز بعد، ۲۹ دسامبر، حدود $6 میلیون دلار دیگر از دارایی‌های این استخر شامل بیت کوین و تتر (USDT) که بر روی لایه اومنی (Omni) بیت کوین قرار داشت، به جیب هکرها سرازیر شد. نکته حیرت‌انگیز این است که با وجود چنین ابعادی، این سرقت برای بیش از چهار سال به طور کامل مسکوت ماند و نه لوبیان و نه هکر، هرگز آن را به صورت عمومی تایید یا اعلام نکردند.

پاشنه آشیل لوبیان: ضعف در تولید کلیدهای خصوصی

شاید بپرسید چگونه چنین نهاد بزرگی این‌گونه فرو ریخت؟ تحلیل‌های آرکهام به یک نقص بنیادین در معماری امنیتی لوبیان اشاره دارد: ضعف در الگوریتم تولید کلیدهای خصوصی.

کلید خصوصی در دنیای کریپتو، حکم کلید گاوصندوق را دارد و دسترسی به آن به معنای مالکیت کامل دارایی‌هاست. به طور معمول، یک کلید خصوصی استاندارد بیت کوین از نظر محاسباتی غیرقابل حدس زدن است.

اما به نظر می‌رسد لوبیان از یک مکانیزم ناقص و قابل پیش‌بینی برای ایجاد کلیدهای خود استفاده می‌کرده که آن را در برابر حملات بروت فورس (Brute-Force) به شدت آسیب‌پذیر ساخته بود. در این نوع حمله، هکر با آزمون و خطای میلیاردها ترکیب احتمالی در ثانیه، به دنبال کشف کلید صحیح است؛ فرآیندی که ضعف الگوریتم لوبیان آن را برای مهاجمان ممکن ساخت.

التماس روی بلاکچین: آخرین تلاش‌های ناامیدانه

تیم لوبیان پس از پی بردن به عمق فاجعه، در تاریخ ۳۱ دسامبر باقی‌مانده دارایی خود (حدود $11,886$ بیت کوین) را به سرعت به کیف پول‌های امن منتقل کرد.

اما در اقدامی که نشان از استیصال کامل آن‌ها داشت، از طریق $1516$ تراکنش مجزا، پیام‌هایی را روی بلاکچین بیت کوین برای هکر ارسال کردند.

محتوای این پیام‌ها که با استفاده از قابلیت OP_RETURN در تراکنش‌ها ثبت شده، یک درخواست مستقیم برای بازگرداندن وجوه سرقتی بوده است. انجام این تعداد تراکنش و صرف هزینه $1.4$ بیت کوینی برای ارسال آن‌ها، گواهی بر اصالت این التماس دیجیتالی و عمق بحرانی است که این شرکت در آن گرفتار شده بود.

میراث هکر: سیزدهمین نهنگ بزرگ بیت کوین

یکی از جنبه‌های منحصربه‌فرد این هک، رفتار هکر پس از سرقت است. او برخلاف بسیاری از هکرهای دیگر، تلاشی برای فروش یا پولشویی فوری دارایی‌ها نکرده است. بیت کوین‌های مسروقه برای سال‌ها تقریباً دست‌نخورده باقی ماندند و تنها حرکت قابل توجه آن‌ها، یک عملیات تجمیع و یکپارچه‌سازی کیف پول‌ها در جولای ۲۰۲۴ بوده است.

این انفعال، همراه با رشد سرسام‌آور قیمت بیت کوین، باعث شده تا امروز ارزش این دارایی‌های دزدیده شده به $14.5$ میلیارد دلار برسد. این ثروت بادآورده، هکر ناشناس لوبیان را به سیزدهمین دارنده بزرگ بیت کوین در جهان طبق رتبه‌بندی آرکهام تبدیل کرده است، جایگاهی حتی بالاتر از هکر بدنام صرافی Mt. Gox.

درسی که هرگز نباید فراموش شود

ماجرای هک لوبیان که پس از سال‌ها از سایه بیرون آمده، جایگاه خود را به عنوان بزرگترین سرقت تاریخ ارزهای دیجیتال تثبیت کرده و از موارد مشهوری چون Mt. Gox و Bitfinex نیز پیشی گرفته است.

این رویداد یک زنگ خطر جدی برای تمام فعالان این حوزه است و به تلخی یادآوری می‌کند که در دنیای دیجیتال، امنیت یک فرآیند دائمی است، نه یک دستاورد یک‌باره. تکیه بر زیرساخت‌های امن، استفاده از روش‌های استاندارد و اثبات‌شده برای تولید کلیدهای خصوصی و شفافیت در هنگام وقوع بحران، درس‌هایی حیاتی هستند که این حماسه خاموش به اکوسیستم کریپتو آموخته است.