رمزارز ها و خیال ناراحت خلافکاران (Crypto Crime Report) – بخش دوم

شرکت Chainalysis یکی از شرکت های مشهور در زمینه تحلیل شبکه های بلاکچینی و رمزارز ها در آخرین گزارش منتشر شده خود در ژانویه ۲۰۲۰ نحوه و میزان استفاده خلافکاران از این تکنولوژی را ارائه داده است.

آیا جامعه رمزارز و کسب و کارهای مبتنی بر این تکنولوژی نوپا باید در اینخصوص نگران باشند؟ آیا خلافکاران بدون نگرانی در این مسیر به پیش خواهند رفت؟ این گزارش تا حد زیادی به این پرسش ها پاسخ می دهد. با کوین ایران باشید.

در بخش اول این گزارش موضوعات scam، پولشویی و باج افزارها مطرح گردید. در این قسمت موضوعات دیگری مورد بحث قرار می گیرد.

هک (Hack)

با قویتر شدن امنیت اکسچنج ها، از آن سو نیز هکر ها بیکار نمانده و مدام در حال پیشرفت و حرفه ای تر شدن هستند. سال ۲۰۱۹ بیش از هر سال دیگری هک اتفاق افتاده است. اما هیچکدام از این ۱۱ حمله ای که در سال ۲۰۱۹ رخ داده از نظر میزان رمزارز سرقت شده هنوز به پای حمله های سال ۲۰۱۸ روی Coincheck به میزان ۵۳۴ میلیون دلار و یا حمله روی MtGox در سال ۲۰۱۴ به میزان ۴۷۳ میلیون دلار نمی رسد. به رغم افزایش تعداد حملات در سال ۲۰۱۹ اما میزان رمزارز سرقت شده در این سال ۲۸۳ میلیون دلار است.

در محاسبات فوق انواع حمله ها از نوع آسیب پذیری های فنی و نیز مهندسی اجتماعی لحاظ شده است. همچنین در این محاسبات تنها مواردی که براثر دسترسی غیر مجاز به موجودی کاربران در اکسچنج ها بوده است بررسی گردیده و موارد دیگری همچون پردازش کننده های پرداختی، کیف پول ها، پلتفرم های سرمایه گذاری و سرویس های دیگر در نظر گرفته نشده است.

 نکته:

  تفاوت هک و حمله چیست؟

 تمام هک ها نوعی حمله هستند اما تمام حمله ها لزوما هک نیستند. هک از طریق نفوذ و آسیب پذیری بخشی از نرم افزار اتفاق می افتد، حال آنکه حمله ها می تواند در سطوح فنی پایین تری رخ دهد (مانند فیشینگ، فریب کاربر، مهندسی اجتماعی و …).

در سال ۲۰۱۹ هک های شناسایی شده روی اکسچنج ها به شرح جدول زیر است:

نمودار زیر متوسط میزان رمزارز سرقتی در خلال سال های ۲۰۱۱ تا ۲۰۱۹ بر اثر هک را نشان می دهد. بدون در نظر گرفتن هک روی Coinbene که از سوی این اکسچنج انکار شده است (اما بررسی ها خلاف آن را نشان می دهد)، حجم رمزارز سرقت شده در سال ۲۰۱۹ کاهش چشمگیری را بیان می کند.

اما مقصد رمزارز های سرقت شده کجا بوده است؟

با تحلیل داده های روی بلاکچین ها حرکت این رمزارز ها و قصد هکرها برای نقد کردن آنها ردیابی و شناسایی شده است. بخش اعظمی از آنها به اکسچنج های دیگر منتقل و به پول نقد (فیات) نزدیک شده است. اما بخشی نیز بدون حرکت در همانجا برای یک یا چند سال نگهداری شده است و همین امر فرصت مناسبی فراهم آورده تا نهادهای قانونی بتوانند این رمزارز های سرقت شده را توقیف نمایند. بخش کوچکتر اما قابل توجهی نیز از این رمزارز ها توانسته از میکسر های یا والت های مخلوط کننده مانند CoinJoin گذشته و برای مصارف غیر قانونی استفاده شود

برای مقابله با هک نیز اکسچنج ها، فرایندهایی را پیاده سازی کرده اند از جمله نگهداری درصد کمتری از سرمایه خود در والت های با امنیت کمتر (hot wallet)، بالا بردن مجوز های اجازه ویدرا، مانیتور کردن تراکنش ها برای موارد مشکوک و موارد دیگر. در مقابل؛ هکر ها نیز روش های پیچیده تری را برای فرار از تله های فوق به کار گرفته اند.

بررسی موردی یکی از کیس های مشهور هک تحت نام Lazarus Group و پیشرفت آن در سال ۲۰۱۹

گروه Lazarus Group یکی از سندیکا های بدنام حوزه جنایات سایبری و مرتبط با دولت کره شمالی است. بسیاری از متخصصان حوزه امنیت سایبری بر این باورند که این گروه پشت هک سال ۲۰۱۴ روی کمپانی Sony Pictures و حمله های باج افزار WannaCry در سال ۲۰۱۷ و بسیاری از حملات روی اکسچنج ها بوده است. بررسی ها در سال گذشته نشان می دهد که این گروه با نام مستعار Beta Group نیز فعالیت های مخربی بر علیه اکسچنج ها انجام داده است.

 گروه لازاروس در سال ۲۰۱۹ برای به هدف رسیدن اقدامات مخربش سه تغییر کلیدی در استراتژی هک و پولشویی خود انجام داده است:

•  حرفه ای تر و پیچیده تر کردن اقدامات فیشینگ روی مهندسی اجتماعی

•  افزایش میزان استفاده از والت های میکسر و کوین جوین برای مخفی کردن مبدا تراکنش ها

•  قابلیت نقد شوندگی بالاتر سرمایه های سرقت شده

چگونه گروه لازاروس از شرکت های جعلی برای فیشینگ استفاده کرد؟

در مارس ۲۰۱۹ هکر های این گروه به یک اکسچنج واقع در سنگاپور به نام DragonEx رخنه کرده و کنترل ۷ میلیون دلار از رمزارز های این اکسچنج از جمله بیت کوین، ریپل و لایتکوین را به دست گرفتند. این اکسچنج به سرعت واکنش نشان داده و از طریق شبکه های اجتماعی اطلاع داد و لیستی از ۲۰ والتی که رمزارز های سرقتی به آنها منتقل شده بودند را منتشر کرد. این کار باعث عکس العمل سایر اکسچنج ها شد تا این والت ها را علامت گذاری کرده و اکانت های مرتبط با آنها را فریز کنند و انتقال رمزارز های موجود در آنها را سخت نمایند.

در مقابل گروه لازاروس نیز بیکار ننشسته و برای قویتر کردن خود، به دنبال ابزار فیشینگ پیچیده تری بود. آنها یک شرکت جعلی درست کردند که در زمینه فروش بات تریدر رمزارز ها به نام Worldbit-bot بود و یک وب سایت شیک برای آن درست کرده و در شبکه های اجتماعی به تبلیغ آن پرداختند.

آنها حتی از این نیز فراتر رفته و به سمت تولید محصول نرم افزاری ترید رفتند. اما این نرم افزار حاوی کدهای مخرب (malware) بود و هرکسی که آن را دانلود می کرد در واقع به هکر های این گروه اجازه دسترسی به سیستمش را می داد. آنها سپس به کاربران DragonEx یک نسخه آزمایشی رایگان ارائه و آنها را به استفاده از آن ترغیب کردند. قربانیان با نصب این نرم افزار به گروه لازاروس امکان کنترل کیف پول و سرمایه خود را می دادند.

استفاده از میکسر ها توسط گروه لازاروس

بررسی ها نشان می دهد این گروه تا سال ۲۰۱۸ برنامه ای برای استفاده از میکسر ها نداشته و صرفا با نگهداری سرمایه های سرقت شده در والت ها برای ۱۲ تا ۱۸ ماه و سپس انتقال ناگهانی آنها به یک اکسچنج با KYC پایین اقدام می نموده اند و در آنجا تبدیل به پول نقد شده و ویدرا شده است. طبق گزارش دولت آمریکا، کره شمالی از این پول برای توسعه برنامه تسلیحاتی و سلاح های کشتار جمعی استفاده کرده است.

این گروه در سال ۲۰۱۹ این تاکتیک را عوض کرده و روش نقد کردن رمزارز ها را تغییر داد و به استفاده از میکسر ها روی آورد.

نحوه کار تاکتیک به کار گرفته شده در سال ۲۰۱۹:

آلتکوین های سرقت شده ابتدا به اکسچنج ها منتقل و در آنجا به بیت کوین تبدیل می شدند. سپس این بیت کوین ها به طور تصادفی بین والت های لوکال توزیع شده و پس از آن به میکسر هایی مانند Wasabi Wallet ارسال می شدند. تمام این فرایند در کمتر از ۶۰ روز صورت می گرفته است.

این گروه همچنان در حال گسترش فعالیت های خرابکارانه است و فشار زیادی به سازمانهای نظارت کننده و اکسچنج ها برای نظارت و مراقبت وارد کرده است. اکسچنج ها ابزار های مقابله با هک را قویتر کرده و در این زمینه باید هوشیار تر باشند. همچنان که پیشتر نیز گفته شد یکی از این اقدامات نظارت وسیع تر روی تراکنش ها و همچنین ایجاد مانع روی تراکنش های مشکوک است.

از سوی دیگر اکسچنج های باید مراقب و مسئول باشند تا مجرمین نتوانند از طریق آنها رمزارز های سرقت شده را به پول نقد تبدیل نمایند. همچنین نظارت خیلی دقیق تری روی میکسر ها داشته باشند. در نهایت می بایست با سازمانهای نظارتی و مجری قانون همکاری تنگاتنگی به عمل آورند.

بازارهای سیاه (Darknet Markets)

فعالیت بازارهای سیاه در سال ۲۰۱۹ از هر زمان دیگری به رغم بسته شدن بسیاری از آنها فزونی یافته است. نهادهای مجری قانون در این راستا چه اقداماتی انجام می دهند؟

هرچند در سال ۲۰۱۸ کمی کاهش داشته اما در سال ۲۰۱۹ یک رشد ۷۰ درصدی نشان می دهد بالغ بر ۷۹۰ میلیون دلار. این در حالی است که از ۲۰۱۶ تا ۲۰۱۹ تعداد تراکنش های رمزارز وردی به این بازارها سیر نزولی داشته و به ۰.۰۴ درصد از کل تراکنش های این حوزه رسیده بود اما در ۲۰۱۹ این میزان تراکنش دو برابر شده و به ۰.۰۸ درصد از سهم کل تراکنش های حوزه رمزارز رسیده است.

مطابق معمول حجم بیشتر ورودی و خروجی نقل و انتقالات بازارهای سیاه، اکسچنج ها هستند (بین ۶۰ تا ۷۰ درصد). با وجود آنکه در سال ۲۰۱۹ تعداد ۸ مورد از بازارهای سیاه فعال در سال پیش از آن توسط نهادهای قانونی بسته شده است، اما به سرعت به همین تعداد مجددا باز شده و در مجموع به عدد ۴۹ رسیده است.طبیعت این بازارها به گونه ای است که با بسته شدن هرکدام، مشتری ها به سمت بازار های دیگر روانه می شوند.

روند سودآوری این بازار ها نیز بر پایه تعداد خرید بیشتر (و نه حجم بیشتر) یعنی افزایش تعداد مشتریان است. همچنین داده ها نشان می دهد مشتریان این بازار ها تاثیر پذیری کمتری نسبت به جهش قیمتی بیت کوین دارند و روند تقریبا ثابتی را طی می کند. در نمودار زیر مشخص می کند که با جهش قیمتی بیت کوین در ماه جولای تاثیر زیادی بر رفتار مشتریان سرویس های خرید و اکسچنج (افزایش تراکنش) ایجاد شده است اما این تاثیر پذیری در بازارهای سیاه بسیار کم است.

مواد مخدر همچنان بازیگر اصلی در بازارهای سیاه

تحقیق نشان می دهد که در طول زمان بازارها به سمت یکدیگر نقل مکان می کنند اما آنهایی که متمرکز بر مواد مخدر هستند جایگاه ثابت و دائمی دارند. بعضی از آنها مثل بازار خرید و فروش کارتهای اعتباری سرقتی (UNICC) در تمام دوره ها جایگاه خود را حفظ کرده است.

در مبارزه با فروش آنلاین مواد مخدر کدام روش کاراتر است؟ تعقیب فروشنده ها یا بستن بازار؟

برای مدت مدیدی استراتژی به کار گرفته شده در اجرای قانون عبارت بود از پیگرد بازارهای سیاه. دلیل آن هم روشن بود، وقتی می شود یک بازار را مانند آب خوردن بست و پایین آورد، چرا به دنبال فروشنده ها برویم. بر اساس همین استراتژی سازمانهای مجری قانون توانستند فعالیت دو نمونه از مشهور ترین بازارهای سیاه را متوقف کنند: AlphaBay و Hansa.

اما مشکل از جای دیگری بیرون زد و آن اینکه بازار های دیگر به سرعت خلاء آنها را پر کردند. تا پایان سال ۲۰۱۹، تعداد بازارهای فعال به ۴۹ رسید بنابراین فروشندگان و خریداران توانستند به سرعت جایگزین دیگری پیدا کنند. در این امر نیز شبکه هایی چون Dread و Reddit به کمک فروشندگان و خریداران آمدند. از این رو تغییر استراتژی برای تعقیب فروشندگان پر رنگ گردید.

برای مطالعه:

چگونه پلیس سوئد یکی از مجرمین مشهور بازار سیاه با نام مستعار Malvax را تعقیب و به دام انداخت؟

در سال ۲۰۱۴، استفان کالمن و تیم او در پلیس سوئد به فعالیت های یک فروشنده در بازارهای سیاه سیلک–رود و اِولوشِن با نام مستعار Malvax مظنون شدند. آنها فعالیت او را در سیلک–رود زیر نظر گرفتند و به زودی فهمیدند که این فرد در دو بازار دیگر Evoloution و Flugsvamp در سوئد نیز فعال است و او در این دو بازار با نام مستعار Urbansgregor بیش از ۲۸۰ ماده غیر قانونی و خطرناک نظیر فنتانیل به مشتریانش ارائه می کند.

همزمان با نشان گذاری و توقیف محموله های او توسط شرکت پست خصوصی دانمارک (PostNord)، تیم استفان به دنبال هویت واقعی ملواکس بودند. فعالیت های ملواکس بسیار متبحرانه و با استفاده از متد هایی مانند میکسر برای پنهان کردن هویت خود بود. در این زمان پلیس به یک فرصت طلایی دست پیدا کرد. هنگامی که در اواسط ۲۰۱۵ اف بی آی سرورهای سیلک–رود ۲ را توقیف و فعالیت این بازار را متوقف کرده بود، بررسی لاگ دیتا های این سرور ها سرنخ جالبی به دست داد: تعدادی آدرس های بیت کوین که یک فروشنده با نام ملواکس استفاده می کرد. ردیابی این آدرس ها توسط Chainalysis آنها را به یک اکسچنج که دفتر مرکزی آن در انگلستان بود مرتبط نمود. این اکسچنج تحت قوانین رگولاتوری فعالیت می کرد.

استفان و تیمش یک احضاریه برای این اکسچنج ارسال و درخواست اطلاعات بیشتری مرتبط با اسامی مستعار Malvax و Urbansgregor کردند. اطلاعات نشان داد فردی که در پس این دو اسم مستعار است فردی است با هویت Fredrik Robertsson. تیم استفان با دریافت مجوز شنود تلفن فردریک روبرتسون و جاسازی ردیاب جی پی اس در خودرو او و زیر نظر گرفتن منزلش تمام فعالیت های او را رصد کردند. سپس او را با چند درخواست خرید تستی و رفتار های کاری و غیرکاری او زیر نظر قرار داده و نهایتا حکم بازرسی منزل او را بدست آوردند.

با بازرسی از منزل او و نفوذ به ایمیل و بررسی سفارشات و آدرس های بیت کوین در نهایت برای آنها محرز شد که هویت واقعی ملواکس همان فردریک روبرتسون است.

آینده بازارهای سیاه چگونه است؟

این بازار ها برای فرار از دست قانون و جلب اعتماد کاربران روش های جدیدی پیاده سازی کرده اند. یکی از این موارد ایجاد و در اختیار گذاشتن امکانات ایمنی به کاربران برای محافظت از اسکم شدن آنها بوسیله فروشندگان و خود بازار است. به عنوان مثال، پیاده سازی چند امضایی در هنگام ثبت سفارش و ارسال آن به خریدار است که می بایست هم فروشنده و هم خریدار معامله را تایید کنند تا سفارش و پرداخت انجام شود. مورد دیگر پیاده سازی والت های بدون سپرده و یک بار مصرف است.

بعضی از بازار ها نیز برای جلوگیری از توقیف شدن و قطع سرویس توسط سازمانهای مجری قانون، به دنبال زیرساخت های جدید هستند. به عنوان مثال OpenBazaar کاملا غیر متمرکز و شبیه بلاکچین بر بستر شبکه Tor پیاده سازی شده است. بنابراین از کار انداختن و پایین آوردن این سرویس کاملا غیر ممکن است. مثال دیگری از این نوع بازار، Particl.io است. نکته مثبت اینکه هیچ یک از این دو بازار هنوز مورد اقبال عمومی واقع نشده اند.

برخی از بازار ها نیز در این میان به طرف استفاده از رمزارز های با محرمانگی بالا نظیر مونرو روی آورده اند.

تامین مالی تروریسم (Terrorism Financing)

تامین مالی تروریسم در حوزه کریپتو و رمزارز هنوز در مراحل نخستین بوده اما به سرعت در حال گسترش است. این پدیده مشکلاتی را برای کامیونیتی هوشمند به دنبال آورده است. به خاطر ماهیت غیر متمرکز این تکنولوژی، بر خلاف حساب های بانکی، آدرس های رمزارز ها قابل توقیف نیست. نکته دیگر اینکه اینگونه جرایم با توجه به ماهیت اطلاعات حساس و طبقه بندی شده در آن امکان گزارش عمومی وجود ندارد.

یکی از روش هایی که این گروه های تروریستی برای جمع آوری سرمایه انجام می دهند اعلام آدرس های یکبار مصرف و تبلیغات در شبکه های اجتماعی برای جمع آوری دونیت از سوی افراد است. برای هر فرد داوطلب به ارسال دونیت در همان موقع یک آدرس منحصر بفرد و یکبار مصرف تولید و در اختیار او قرار می گیرد.

آنها همچنین دستورالعمل های آموزشی در اختیار اهدا کنندگان می گذارند از جمله اینکه برای عدم ردیابی IP به آنها توصیه می کنند که از مکانهای عمومی برای این کار استفاده نمایند.

نتیجه گیری:

جرایم و خلافکاری های حوزه کریپتو و رمزارز به طور پیوسته به سمت زمینه های دیگر و پیچیدگی های بیشتر در حال حرکت است. به موازات پیشرفت نهادهای قانونی، رگولاتور ها و افراد خبره در حوزه رمزارز و بلاکچین، از آن سو نیز مجرمان خود را به تکنولوژی های پیشرفته تر و پیچیده تری مجهز می کنند. این روش ها می تواند (و نه لزوما محدود به) موارد زیر باشد:

• استفاده بیشتر از میکسر های از نوع non-custodial

• استفاده از روش chain hopping (تبدیل پی در پی و سریع رمزارز ها به یکدیگر)

• کوین های از نوع Privacy coins (مانند مونرو)

• اکسچنج های P2P

برای غلبه بر تکنیک های فوق، ما بر این باور هستیم که همکاری تنگاتنگ کسب و کارها، رگولاتور ها، نهادهای قانونی و کمپانی های تحلیل و بررسی بلاکچین ها نظیر Chainalysis در این زمینه بسیار راهگشا است.

منبع:

Chainalysis.com