حمید رضا عسگری | 2020.02.15

رمزارز ها و خیال ناراحت خلافکاران (Crypto Crime Report) – بخش دوم

شرکت Chainalysis یکی از شرکت های مشهور در زمینه تحلیل شبکه های بلاکچینی و رمزارز ها در آخرین گزارش منتشر شده خود در ژانویه 2020 نحوه و میزان استفاده خلافکاران از این تکنولوژی را ارائه داده است.

آیا جامعه رمزارز و کسب و کارهای مبتنی بر این تکنولوژی نوپا باید در اینخصوص نگران باشند؟ آیا خلافکاران بدون نگرانی در این مسیر به پیش خواهند رفت؟ این گزارش تا حد زیادی به این پرسش ها پاسخ می دهد. با کوین ایران باشید.

در بخش اول این گزارش موضوعات scam، پولشویی و باج افزارها مطرح گردید. در این قسمت موضوعات دیگری مورد بحث قرار می گیرد.

هک (Hack)

با قویتر شدن امنیت اکسچنج ها، از آن سو نیز هکر ها بیکار نمانده و مدام در حال پیشرفت و حرفه ای تر شدن هستند. سال 2019 بیش از هر سال دیگری هک اتفاق افتاده است. اما هیچکدام از این 11 حمله ای که در سال 2019 رخ داده از نظر میزان رمزارز سرقت شده هنوز به پای حمله های سال 2018 روی Coincheck به میزان 534 میلیون دلار و یا حمله روی MtGox در سال 2014 به میزان 473 میلیون دلار نمی رسد. به رغم افزایش تعداد حملات در سال 2019 اما میزان رمزارز سرقت شده در این سال 283 میلیون دلار است.

hack- میزان هک روی اکسچنج ها در خلال سال های 2011 تا 2019

در محاسبات فوق انواع حمله ها از نوع آسیب پذیری های فنی و نیز مهندسی اجتماعی لحاظ شده است. همچنین در این محاسبات تنها مواردی که براثر دسترسی غیر مجاز به موجودی کاربران در اکسچنج ها بوده است بررسی گردیده و موارد دیگری همچون پردازش کننده های پرداختی، کیف پول ها، پلتفرم های سرمایه گذاری و سرویس های دیگر در نظر گرفته نشده است.

 نکته:

  تفاوت هک و حمله چیست؟

 تمام هک ها نوعی حمله هستند اما تمام حمله ها لزوما هک نیستند. هک از طریق نفوذ و آسیب پذیری بخشی از نرم افزار اتفاق می افتد، حال آنکه حمله ها می تواند در سطوح فنی پایین تری رخ دهد (مانند فیشینگ، فریب کاربر، مهندسی اجتماعی و …).

در سال 2019 هک های شناسایی شده روی اکسچنج ها به شرح جدول زیر است:

hack - حجم رمزارز سرقت شده از اکسچنج ها

نمودار زیر متوسط میزان رمزارز سرقتی در خلال سال های 2011 تا 2019 بر اثر هک را نشان می دهد. بدون در نظر گرفتن هک روی Coinbene که از سوی این اکسچنج انکار شده است (اما بررسی ها خلاف آن را نشان می دهد)، حجم رمزارز سرقت شده در سال 2019 کاهش چشمگیری را بیان می کند.

متوسط رمزارز سرقت شده از هر اکسچنج

اما مقصد رمزارز های سرقت شده کجا بوده است؟

با تحلیل داده های روی بلاکچین ها حرکت این رمزارز ها و قصد هکرها برای نقد کردن آنها ردیابی و شناسایی شده است. بخش اعظمی از آنها به اکسچنج های دیگر منتقل و به پول نقد (فیات) نزدیک شده است. اما بخشی نیز بدون حرکت در همانجا برای یک یا چند سال نگهداری شده است و همین امر فرصت مناسبی فراهم آورده تا نهادهای قانونی بتوانند این رمزارز های سرقت شده را توقیف نمایند. بخش کوچکتر اما قابل توجهی نیز از این رمزارز ها توانسته از میکسر های یا والت های مخلوط کننده مانند CoinJoin گذشته و برای مصارف غیر قانونی استفاده شود

مقصد رمزارز های سرقت شده در سال های 2015 تا 2019

برای مقابله با هک نیز اکسچنج ها، فرایندهایی را پیاده سازی کرده اند از جمله نگهداری درصد کمتری از سرمایه خود در والت های با امنیت کمتر (hot wallet)، بالا بردن مجوز های اجازه ویدرا، مانیتور کردن تراکنش ها برای موارد مشکوک و موارد دیگر. در مقابل؛ هکر ها نیز روش های پیچیده تری را برای فرار از تله های فوق به کار گرفته اند.

بررسی موردی یکی از کیس های مشهور هک تحت نام Lazarus Group و پیشرفت آن در سال 2019

گروه Lazarus Group یکی از سندیکا های بدنام حوزه جنایات سایبری و مرتبط با دولت کره شمالی است. بسیاری از متخصصان حوزه امنیت سایبری بر این باورند که این گروه پشت هک سال 2014 روی کمپانی Sony Pictures و حمله های باج افزار WannaCry در سال 2017 و بسیاری از حملات روی اکسچنج ها بوده است. بررسی ها در سال گذشته نشان می دهد که این گروه با نام مستعار Beta Group نیز فعالیت های مخربی بر علیه اکسچنج ها انجام داده است.

 گروه لازاروس در سال 2019 برای به هدف رسیدن اقدامات مخربش سه تغییر کلیدی در استراتژی هک و پولشویی خود انجام داده است:

  •  حرفه ای تر و پیچیده تر کردن اقدامات فیشینگ روی مهندسی اجتماعی

  •  افزایش میزان استفاده از والت های میکسر و کوین جوین برای مخفی کردن مبدا تراکنش ها

  •  قابلیت نقد شوندگی بالاتر سرمایه های سرقت شده

چگونه گروه لازاروس از شرکت های جعلی برای فیشینگ استفاده کرد؟

در مارس 2019 هکر های این گروه به یک اکسچنج واقع در سنگاپور به نام DragonEx رخنه کرده و کنترل 7 میلیون دلار از رمزارز های این اکسچنج از جمله بیت کوین، ریپل و لایتکوین را به دست گرفتند. این اکسچنج به سرعت واکنش نشان داده و از طریق شبکه های اجتماعی اطلاع داد و لیستی از 20 والتی که رمزارز های سرقتی به آنها منتقل شده بودند را منتشر کرد. این کار باعث عکس العمل سایر اکسچنج ها شد تا این والت ها را علامت گذاری کرده و اکانت های مرتبط با آنها را فریز کنند و انتقال رمزارز های موجود در آنها را سخت نمایند.

در مقابل گروه لازاروس نیز بیکار ننشسته و برای قویتر کردن خود، به دنبال ابزار فیشینگ پیچیده تری بود. آنها یک شرکت جعلی درست کردند که در زمینه فروش بات تریدر رمزارز ها به نام Worldbit-bot بود و یک وب سایت شیک برای آن درست کرده و در شبکه های اجتماعی به تبلیغ آن پرداختند.

فیشینگ توسط Lazarus Group

آنها حتی از این نیز فراتر رفته و به سمت تولید محصول نرم افزاری ترید رفتند. اما این نرم افزار حاوی کدهای مخرب (malware) بود و هرکسی که آن را دانلود می کرد در واقع به هکر های این گروه اجازه دسترسی به سیستمش را می داد. آنها سپس به کاربران DragonEx یک نسخه آزمایشی رایگان ارائه و آنها را به استفاده از آن ترغیب کردند. قربانیان با نصب این نرم افزار به گروه لازاروس امکان کنترل کیف پول و سرمایه خود را می دادند.

استفاده از میکسر ها توسط گروه لازاروس

بررسی ها نشان می دهد این گروه تا سال 2018 برنامه ای برای استفاده از میکسر ها نداشته و صرفا با نگهداری سرمایه های سرقت شده در والت ها برای 12 تا 18 ماه و سپس انتقال ناگهانی آنها به یک اکسچنج با KYC پایین اقدام می نموده اند و در آنجا تبدیل به پول نقد شده و ویدرا شده است. طبق گزارش دولت آمریکا، کره شمالی از این پول برای توسعه برنامه تسلیحاتی و سلاح های کشتار جمعی استفاده کرده است.

این گروه در سال 2019 این تاکتیک را عوض کرده و روش نقد کردن رمزارز ها را تغییر داد و به استفاده از میکسر ها روی آورد.

استفاده از mixre توسط گروه Lazarus

نحوه کار تاکتیک به کار گرفته شده در سال 2019:

آلتکوین های سرقت شده ابتدا به اکسچنج ها منتقل و در آنجا به بیت کوین تبدیل می شدند. سپس این بیت کوین ها به طور تصادفی بین والت های لوکال توزیع شده و پس از آن به میکسر هایی مانند Wasabi Wallet ارسال می شدند. تمام این فرایند در کمتر از 60 روز صورت می گرفته است.

این گروه همچنان در حال گسترش فعالیت های خرابکارانه است و فشار زیادی به سازمانهای نظارت کننده و اکسچنج ها برای نظارت و مراقبت وارد کرده است. اکسچنج ها ابزار های مقابله با هک را قویتر کرده و در این زمینه باید هوشیار تر باشند. همچنان که پیشتر نیز گفته شد یکی از این اقدامات نظارت وسیع تر روی تراکنش ها و همچنین ایجاد مانع روی تراکنش های مشکوک است.

از سوی دیگر اکسچنج های باید مراقب و مسئول باشند تا مجرمین نتوانند از طریق آنها رمزارز های سرقت شده را به پول نقد تبدیل نمایند. همچنین نظارت خیلی دقیق تری روی میکسر ها داشته باشند. در نهایت می بایست با سازمانهای نظارتی و مجری قانون همکاری تنگاتنگی به عمل آورند.

بازارهای سیاه (Darknet Markets)

فعالیت بازارهای سیاه در سال 2019 از هر زمان دیگری به رغم بسته شدن بسیاری از آنها فزونی یافته است. نهادهای مجری قانون در این راستا چه اقداماتی انجام می دهند؟

هرچند در سال 2018 کمی کاهش داشته اما در سال 2019 یک رشد 70 درصدی نشان می دهد بالغ بر 790 میلیون دلار. این در حالی است که از 2016 تا 2019 تعداد تراکنش های رمزارز وردی به این بازارها سیر نزولی داشته و به 0.04 درصد از کل تراکنش های این حوزه رسیده بود اما در 2019 این میزان تراکنش دو برابر شده و به 0.08 درصد از سهم کل تراکنش های حوزه رمزارز رسیده است.

حجم رمزارز دریافت شده در بازارهای سیاه

مطابق معمول حجم بیشتر ورودی و خروجی نقل و انتقالات بازارهای سیاه، اکسچنج ها هستند (بین 60 تا 70 درصد). با وجود آنکه در سال 2019 تعداد 8 مورد از بازارهای سیاه فعال در سال پیش از آن توسط نهادهای قانونی بسته شده است، اما به سرعت به همین تعداد مجددا باز شده و در مجموع به عدد 49 رسیده است.طبیعت این بازارها به گونه ای است که با بسته شدن هرکدام، مشتری ها به سمت بازار های دیگر روانه می شوند.

روند سودآوری این بازار ها نیز بر پایه تعداد خرید بیشتر (و نه حجم بیشتر) یعنی افزایش تعداد مشتریان است. همچنین داده ها نشان می دهد مشتریان این بازار ها تاثیر پذیری کمتری نسبت به جهش قیمتی بیت کوین دارند و روند تقریبا ثابتی را طی می کند. در نمودار زیر مشخص می کند که با جهش قیمتی بیت کوین در ماه جولای تاثیر زیادی بر رفتار مشتریان سرویس های خرید و اکسچنج (افزایش تراکنش) ایجاد شده است اما این تاثیر پذیری در بازارهای سیاه بسیار کم است.

میزان تراکنش های بیت کوین در بازارهای سیاه

مواد مخدر همچنان بازیگر اصلی در بازارهای سیاه

تحقیق نشان می دهد که در طول زمان بازارها به سمت یکدیگر نقل مکان می کنند اما آنهایی که متمرکز بر مواد مخدر هستند جایگاه ثابت و دائمی دارند. بعضی از آنها مثل بازار خرید و فروش کارتهای اعتباری سرقتی (UNICC) در تمام دوره ها جایگاه خود را حفظ کرده است.

سهم بازارهای سیاه رمزارز

در مبارزه با فروش آنلاین مواد مخدر کدام روش کاراتر است؟ تعقیب فروشنده ها یا بستن بازار؟

برای مدت مدیدی استراتژی به کار گرفته شده در اجرای قانون عبارت بود از پیگرد بازارهای سیاه. دلیل آن هم روشن بود، وقتی می شود یک بازار را مانند آب خوردن بست و پایین آورد، چرا به دنبال فروشنده ها برویم. بر اساس همین استراتژی سازمانهای مجری قانون توانستند فعالیت دو نمونه از مشهور ترین بازارهای سیاه را متوقف کنند: AlphaBay و Hansa.

اما مشکل از جای دیگری بیرون زد و آن اینکه بازار های دیگر به سرعت خلاء آنها را پر کردند. تا پایان سال 2019، تعداد بازارهای فعال به 49 رسید بنابراین فروشندگان و خریداران توانستند به سرعت جایگزین دیگری پیدا کنند. در این امر نیز شبکه هایی چون Dread و Reddit به کمک فروشندگان و خریداران آمدند. از این رو تغییر استراتژی برای تعقیب فروشندگان پر رنگ گردید.

برای مطالعه:

چگونه پلیس سوئد یکی از مجرمین مشهور بازار سیاه با نام مستعار Malvax را تعقیب و به دام انداخت؟

Malvax, Fredrick Robertsson

در سال 2014، استفان کالمن و تیم او در پلیس سوئد به فعالیت های یک فروشنده در بازارهای سیاه سیلکرود و اِولوشِن با نام مستعار Malvax مظنون شدند. آنها فعالیت او را در سیلکرود زیر نظر گرفتند و به زودی فهمیدند که این فرد در دو بازار دیگر Evoloution و Flugsvamp در سوئد نیز فعال است و او در این دو بازار با نام مستعار Urbansgregor بیش از 280 ماده غیر قانونی و خطرناک نظیر فنتانیل به مشتریانش ارائه می کند.

همزمان با نشان گذاری و توقیف محموله های او توسط شرکت پست خصوصی دانمارک (PostNord)، تیم استفان به دنبال هویت واقعی ملواکس بودند. فعالیت های ملواکس بسیار متبحرانه و با استفاده از متد هایی مانند میکسر برای پنهان کردن هویت خود بود. در این زمان پلیس به یک فرصت طلایی دست پیدا کرد. هنگامی که در اواسط 2015 اف بی آی سرورهای سیلکرود 2 را توقیف و فعالیت این بازار را متوقف کرده بود، بررسی لاگ دیتا های این سرور ها سرنخ جالبی به دست داد: تعدادی آدرس های بیت کوین که یک فروشنده با نام ملواکس استفاده می کرد. ردیابی این آدرس ها توسط Chainalysis آنها را به یک اکسچنج که دفتر مرکزی آن در انگلستان بود مرتبط نمود. این اکسچنج تحت قوانین رگولاتوری فعالیت می کرد.

استفان و تیمش یک احضاریه برای این اکسچنج ارسال و درخواست اطلاعات بیشتری مرتبط با اسامی مستعار Malvax و Urbansgregor کردند. اطلاعات نشان داد فردی که در پس این دو اسم مستعار است فردی است با هویت Fredrik Robertsson. تیم استفان با دریافت مجوز شنود تلفن فردریک روبرتسون و جاسازی ردیاب جی پی اس در خودرو او و زیر نظر گرفتن منزلش تمام فعالیت های او را رصد کردند. سپس او را با چند درخواست خرید تستی و رفتار های کاری و غیرکاری او زیر نظر قرار داده و نهایتا حکم بازرسی منزل او را بدست آوردند.

با بازرسی از منزل او و نفوذ به ایمیل و بررسی سفارشات و آدرس های بیت کوین در نهایت برای آنها محرز شد که هویت واقعی ملواکس همان فردریک روبرتسون است.

Malvax tactics

آینده بازارهای سیاه چگونه است؟

این بازار ها برای فرار از دست قانون و جلب اعتماد کاربران روش های جدیدی پیاده سازی کرده اند. یکی از این موارد ایجاد و در اختیار گذاشتن امکانات ایمنی به کاربران برای محافظت از اسکم شدن آنها بوسیله فروشندگان و خود بازار است. به عنوان مثال، پیاده سازی چند امضایی در هنگام ثبت سفارش و ارسال آن به خریدار است که می بایست هم فروشنده و هم خریدار معامله را تایید کنند تا سفارش و پرداخت انجام شود. مورد دیگر پیاده سازی والت های بدون سپرده و یک بار مصرف است.

بعضی از بازار ها نیز برای جلوگیری از توقیف شدن و قطع سرویس توسط سازمانهای مجری قانون، به دنبال زیرساخت های جدید هستند. به عنوان مثال OpenBazaar کاملا غیر متمرکز و شبیه بلاکچین بر بستر شبکه Tor پیاده سازی شده است. بنابراین از کار انداختن و پایین آوردن این سرویس کاملا غیر ممکن است. مثال دیگری از این نوع بازار، Particl.io است. نکته مثبت اینکه هیچ یک از این دو بازار هنوز مورد اقبال عمومی واقع نشده اند.

برخی از بازار ها نیز در این میان به طرف استفاده از رمزارز های با محرمانگی بالا نظیر مونرو روی آورده اند.

تامین مالی تروریسم (Terrorism Financing)

تامین مالی تروریسم در حوزه کریپتو و رمزارز هنوز در مراحل نخستین بوده اما به سرعت در حال گسترش است. این پدیده مشکلاتی را برای کامیونیتی هوشمند به دنبال آورده است. به خاطر ماهیت غیر متمرکز این تکنولوژی، بر خلاف حساب های بانکی، آدرس های رمزارز ها قابل توقیف نیست. نکته دیگر اینکه اینگونه جرایم با توجه به ماهیت اطلاعات حساس و طبقه بندی شده در آن امکان گزارش عمومی وجود ندارد.

یکی از روش هایی که این گروه های تروریستی برای جمع آوری سرمایه انجام می دهند اعلام آدرس های یکبار مصرف و تبلیغات در شبکه های اجتماعی برای جمع آوری دونیت از سوی افراد است. برای هر فرد داوطلب به ارسال دونیت در همان موقع یک آدرس منحصر بفرد و یکبار مصرف تولید و در اختیار او قرار می گیرد.

آنها همچنین دستورالعمل های آموزشی در اختیار اهدا کنندگان می گذارند از جمله اینکه برای عدم ردیابی IP به آنها توصیه می کنند که از مکانهای عمومی برای این کار استفاده نمایند.

نتیجه گیری:

جرایم و خلافکاری های حوزه کریپتو و رمزارز به طور پیوسته به سمت زمینه های دیگر و پیچیدگی های بیشتر در حال حرکت است. به موازات پیشرفت نهادهای قانونی، رگولاتور ها و افراد خبره در حوزه رمزارز و بلاکچین، از آن سو نیز مجرمان خود را به تکنولوژی های پیشرفته تر و پیچیده تری مجهز می کنند. این روش ها می تواند (و نه لزوما محدود به) موارد زیر باشد:

  • استفاده بیشتر از میکسر های از نوع non-custodial

  • استفاده از روش chain hopping (تبدیل پی در پی و سریع رمزارز ها به یکدیگر)

  • کوین های از نوع Privacy coins (مانند مونرو)

  • اکسچنج های P2P

برای غلبه بر تکنیک های فوق، ما بر این باور هستیم که همکاری تنگاتنگ کسب و کارها، رگولاتور ها، نهادهای قانونی و کمپانی های تحلیل و بررسی بلاکچین ها نظیر Chainalysis در این زمینه بسیار راهگشا است.

منبع:

Chainalysis.com