در طی نزدیک به 10 سال صورت گرفته است

سرقت ۱۵ بیلیون دلاری از هک صرافی های کریپتو!

کد خبر : 1484
01 خرداد 1402 - 16:07

بر اساس مطالعه انجام شده، از سال 2011 تا 2020، مجموع وجوه به سرقت رفته در هک صرافی های کریپتو از 15.6 بیلیون دلار فراتر رفته است. بیش از 50 صرافی قربانی این هک ها شده اند و چندین مورد نقض های متعدد را تجربه کرده اند.

به گزارش عدل البرز به نقل از forbes، در بین حملات کریپتو شناسایی‌شده، صرافی‌های ارزهای دیجیتال به‌عنوان حساس‌ترین اهداف برای مجرمان سایبری در نظر گرفته شده اند و ۲۷ درصد از حملات مستقیماً متوجه این سازمان‌ها بوده است. در بیشتر موارد، دلایل اصلی در پشت پرده این هک‌ها به اقدامات امنیتی ضعیفی که توسط ولت های گرم صرافی‌ها به کار می‌رود، برمی گردد. به ندرت، کاربران قربانی کلاهبرداری های “exit scam” در صرافی های کریپتو می شوند. در این نوع از کلاهبرداری ها، مالکان یا مدیران صرافی به طور ناگهانی تصمیم می‌گیرند از صرافی خود فرار کنند و میلیون ها دلار ارز دیجیتال کاربران را به همراه خود ببرند.

چگونه هکرها به صرافی ها حمله می کنند؟

مجرمان سایبری همیشه به دنبال نقاط ضعفی هستند تا از آنها برای دسترسی غیرمجاز به صرافی‌های کریپتو استفاده کنند. در اینجا روش های به کار گرفته شده توسط این عوامل مخرب را بررسی می کنیم:

حملات Cross-Site Scripting

بیشتر پایانه‌های تجارت آنلاین مستعد حملات Cross-Site Scripting (XSS) هستند. در این روش مهاجمان از آسیب‌پذیری‌ها برای تزریق کدهای مخرب به صفحات وب سوء استفاده می‌کنند. این کد معمولاً معامله گران را به وب سایت های شخص ثالث هدایت می کند یا دستگاه های آنها را با نرم افزارهای مضر آلوده می کند. این نرم افزار مخرب می تواند شامل ویروس های سرقت رمز عبور باشد که ولت ها را هدف قرار می دهند یا آدرس فرستنده را در کلیپ بورد تغییر می دهند.

پیکربندی نادرست

پایانه های وب ممکن است هدر HTTP نداشته باشند که محافظت در برابر انواع خاصی از حملات هکرها را افزایش دهد. به عنوان مثال، هدر پاسخ Content-Security-Policy از حملات تزریق محتوای مخرب، از جمله XSS محافظت می کند. هدر X-Frame-Options در برابر حملات کلیک ربایی دفاع می کند، و Strict-Transport-Security یک اتصال امن را تضمین می کند.

آسیب پذیری های کد تبادل

حتی اگر توسعه دهندگان صرافی بدون خطا کد بنویسند، همیشه احتمال آسیب پذیری در نرم افزارهای شخص ثالث وجود دارد. به عنوان مثال، حفره های امنیتی در دروازه پرداخت، سیستم عامل یا پلت فرم پیام رسانی می توانند برای انجام حملات فیشینگ یا نصب برنامه های مخرب بر روی دستگاه های کارکنان صرافی مورد سوء استفاده قرار گیرند.

آسیب پذیری های قرارداد هوشمند

هکرها می‌توانند آسیب‌پذیری‌هایی را در کد قرارداد هوشمند ولت پیدا کنند که به آنها امکان می‌دهد تا بر روی پول قربانی کنترل داشته باشند. یکی از آسیب‌پذیری‌های رایج عدم اعتبارسنجی ورودی مناسب می باشد که می‌تواند منجر به رفتارهای غیرمنتظره یا دستکاری شود.

مهندسی اجتماعی

در این روش افراد مخرب، به عنوان نمایندگان صرافی ظاهر می شوند و ممکن است از تکنیک های فیشینگ هدف دار برای دسترسی به رایانه های کارکنان استفاده کنند. این فرآیند اغلب به ماه‌ها تلاش مداوم جهت دستیابی به کلیدهای خصوصی نیاز دارد. هک یک حساب کاربری شخصی با کمک برنامه های موبایل جعلی بسیار ساده تر می باشد.

احراز هویت پیامکی

اگر مهاجمان بدانند که یک فرد خاص در معامله در یک صرافی شرکت دارد یا به عنوان مدیر یک صرافی ارز دیجیتال خدمت می کند، می توانند پیام های SMS آنها را رهگیری کرده و در طول فرآیند احراز هویت یا دسترسی به بازیابی از آنها سوء استفاده کنند. در اینجا چند روش بالقوه برای هک وجود دارد:

استراق سمع: مهاجمان می توانند از تجهیزات تخصصی استفاده کنند، تلفن قربانی را با نرم افزارهای مخرب آلوده کنند یا سرور ارائه دهنده خدمات را هک کنند و پیام های SMS را رهگیری کنند.

شبیه سازی سیم کارت: مهاجمان می توانند سیم کارت قربانی را شبیه سازی کنند تا به پیام هایش دسترسی غیرمجاز داشته باشند.

ایستگاه پایه جعلی: از تجهیزات گران قیمت می توان برای رهگیری و رمزگشایی پیام های با راه اندازی یک ایستگاه پایه جعلی استفاده کرد.

هک کردن پلتفرم وب ارائه دهنده شبکه: حمله‌کنندگان می‌توانند حساب کاربری کاربر را در پلتفرم وب ارائه دهنده شبکه هک کنند و تمام پیام‌ها را به شماره تلفن یا آدرس ایمیل مهاجم هدایت کنند.

حمله SS7: با سواستفاده از آسیب پذیری ها در پروتکل های مخابراتی (PSTN، PLMN)، مهاجمان می توانند به پیام های SMS نیز دسترسی غیرمجاز داشته باشند.

اپراتورهای مرکز خدمات مشتری فیشینگ: مهاجمان ممکن است از OSINT (جستجوی پیشرفته در منابع اطلاعاتی آزاد) برای جمع آوری اطلاعات شخصی و شماره تلفن کاربران استفاده کنند. سپس با اپراتور مرکز خدمات مشتری تماس می گیرند و سیم کارت قربانی را به صورت متقلبانه بازیابی می کنند.

اقدامات امنیتی اعمال شده توسط صرافی های کریپتو

اکثر پلتفرم‌های ارزهای دیجیتال از یک یا چند معیار ضد هکر بهمراه احراز هویت چند عاملی که ساده‌ترین و رایج‌ترین روش می باشد، استفاده می‌کنند. با استفاده از این روش، کاربران باید برای تایید هر تراکنش، یک رمز عبور یکبار مصرف، که معمولاً به ایمیل یا تلفن آنها ارسال می شود، وارد کنند. یک رویکرد پیشرفته تر برای احراز هویت چند عاملی شامل استفاده از برنامه های کاربردی تخصصی مانند Google Authenticator می باشد.

یکی از روش‌های امنیتی پرکاربرد دیگر، استفاده از روش چندامضایی (Multi-signature) می باشد که در آن یک ولت بیتکوین نیازمند چند کلید متعدد می باشد که توسط صاحبان مختلف نگهداری می‌شود تا به اموال دسترسی پیدا کنند. در این سیستم، تمام امضاهای الکترونیکی باید جمع‌آوری شوند تا دسترسی به اموال برقرار شود. ولی باید توجه داشت که این روش هم ممکن است نقاط ضعفی داشته باشد. لازم است تأکید شود که یک تنظیم چندامضایی تنها در صورتی موثر می باشد که تمام امضاکنندگان به صورت مستقل از هم باشند.

یکی از امن ترین روش ها برای محافظت در برابر حملات هکرها، توزیع وجوه بین ولت های سرد و گرم می باشد. ولت های سرد، علاوه بر اقدامات امنیتی فیزیکی مانند محافظ های مسلح، دوربین های ویدئویی و اسکنرهای تشخیصی، می توانند یک سیستم چند امضایی را نیز در خود جای دهند.

در روشی دیگر، برای حفاظت از اموال، از قابلیت‌های تایم‌لاک بیتکوین استفاده می‌شود. تایم‌لاک‌ها یک مکانیزم امنیتی دو مرحله‌ای با دو کلید متمایز را در اختیار قرار می‌دهند. برای دسترسی به اموال، به یک کلید معمولی نیاز می باشد، اما کنترل کامل بر پول تنها پس از گذشت یک مدت زمان مشخص (معمولاً ۲۴ ساعت) ممکن می‌شود. در صورت نیاز، با استفاده از کلید دوم، تراکنش‌ها می‌توانند در طول این مدت زمان لغو شوند. همچنین، در صورتی که هکر توانایی به دست آوردن هر دو کلید را داشته باشد، صرافی قادر است اموال موجود در کیف‌پول را حذف کند. این روش باعث افزایش سطح امنیت و کنترل بر روی اموال در قبال حملات هکری و دسترسی غیرمجاز به اموال می‌شود.

اپراتورهای صرافی رمزارز از یک شیوه قابل ستایش استفاده می‌کنند که شامل انجام بازرسی‌های منظم توسط کارشناسان مستقل و آزمون‌های آسیب‌پذیری نرم‌افزاری می باشد. این آزمون‌ها شامل مشارکت هکرهای سفید (White Hat) است که هدف آنها نفوذ به سیستم‌های امنیتی و شناسایی ضعف‌هایی می باشد که حمله‌کنندگان ممکن است از آنها استفاده کنند. این اقدامات منجر به بهبود امنیت سیستم‌های صرافی رمزارز و باعث کاهش خطر حملات و نفوذ غیرمجاز می‌شود.

اتخاذ یک رویکرد یکپارچه هنگام پرداختن به امنیت صرافی ارزهای دیجیتال بسیار مهم می باشد. این امر مستلزم اطمینان از امنیت کد خود صرافی و همچنین حفاظت از کتابخانه های شخص ثالث و محیط توسعه مورد استفاده در طول ایجاد پلتفرم می باشد. همچنین باید عامل انسانی را هم در نظر بگیرید، چون اغلب نقش مهمی در تسهیل حملات هکر ایفا می کند.

انتهای پیام

لینک کوتاه : https://adlealborz.ir/?p=1484