هک بیت کوین (تاریخچه هک بیت کوین و آلتکوین ها، راه های پیشگیری از سرقت)

شاید وقتی که Satoshi در سال ۲۰۰۹ و برای اولین بار، بیت کوین را در مقاله خود معرفی می کرد، فکرش را هم نمی کرد که رشد و توسعه این پول مجازی بعد از هشت سال، تا این اندازه باشد. بیت کوین، بازار نابی ایجاد کرد که سلطه دولت ها و دلالان را به چالش کشید و سیستم نظارت مرکزی را زیر سوال برد. با وجود ویژگی های مثبت زیادی که برای بیت کوین و سایر رمز ارز ها (آلتکوین ها) وجود دارد، نگرانی های امنیتی از نخستین سوالات سرمایه گذاران تازه کار  و یا حتی کهنه کار است.

در این مقاله نگاهی به شیوه های هک بیت کوین خواهیم داشت؛ سپس، برخی از معروف ترین هک های بیت کوین را مرور می کنیم و در آخر، توصیه های امنیتی برای داشتن کیف پول امن را بررسی خواهیم کرد.

و اما، هکِ بیت کوین چگونه اتفاق می افتد؟

پرسود ترین دزدی هایی که از بیت کوین اتفاق می افتد، مربوط به سرویس های آنلاین است که کد های مخفی مربوط به تعداد زیادی کاربر در آن ها، ذخیره شده است (مثل کاری که Sheep Marketplace انجام داد). به نظر می رسد که حملات هکری، بیشتر توسط افراد خودی در این شرکت ها، اتفاق افتاده است؛ کسانی که چندان هم هکر های ماهری نبوده اند، اما به کد های مخفی کاربران، دسترسی داشته اند. با کپی کردن این کد ها می توان کنترل مبادله بیت کوین ها را در دست گرفت و به هر آدرس مورد نظری، انتقال داد.

اکنون، فرد مورد نظر دارای مقدار زیادی بیت کوین است. البته فرآیند دزدی هنوز کامل نیست و مرحله بعد، اعمال پول شویی است؛ به این صورت که باید با استفاده از یک mixer یا tumbler، این حجم زیاد از بیت کوین را به مقادیر کوچک ، خرد کرد و آن را به طور رندوم، وارد مبادله با سایر کاربران کرد. در نهایت، حساب پاکی وجود دارد که مقادیر زیادی بیت کوین دارد. در صورتیکه فرد هکر اقدام به مبادله مقدار زیادی بیت کوین کند، گردانندگان بلاکچین آن را رصد و برملا خواهند کرد.

با اینکه بیت کوین ویژگی هایی دارد که آن را برای دزدی، ایده آل می سازد، ویژگی هایی نیز دارد که برای هکر ها، اصلا خوب نیست. در اصل، بلاکچین یک ابزار عمومی است که هر کسی می تواند ببیند که کوین ها به کدام کیف پول، منتقل می شوند. بنابراین، با رد پایی که یک هکر از خود به جا می گذارد، حتی اگر در لحظه امکان آشکار سازی مسیر انتقال بیت کوین مشخص نباشد، در آینده، قابل ردیابی است.

راه دیگر برای هک بیت کوین، داشتن نام و شماره تلفن فردی با کیف پول پر از بیت کوین است. محققان به تازگی نشان داده اند که می توان با استفاده از نام و شماره موبایل یک فرد، حساب کاربری گوگل وی را هک کرد و برای دسترسی به حساب های بانکی یا بیت کوین شخص، مورد سو استفاده قرار داد. برای این کار، نخست با استفاده از یک شماره تلفن و Gmail برای یافتن حساب کاربری شخص قربانی استفاده کردند.

سپس رمز عبور مربوط به حساب مربوطه را reset کردند و با رخنه ایجاد شده در سیستم سیگنالینگ SS7 و دسترسی به پیام های SMS، به کد فرستاده شده به تلفن همراه آن فرد، دسترسی پیدا کردند. سپس، همین کار را برای بازیابی حساب Coinbase مورد نظر، انجام دادند که در نهایت تواستند به حساب آنلاین فرد قربانی، دسترسی پیدا کنند. برای مشاهده کامل این خبر، اینجا را کلیک کنید.

در نهایت، راه سومی برای هک بیت کوین وجود دارد که فیشینگ نیزه ای یا (spear phishing) نامیده می شود. در این روش، هکر ها خود را به جای افراد دیگری جا می زنند و سعی در فریب قربانی و دریافت اطلاعات ورود به حساب کاربری دارند. به طور مثال، اخیرا هکر های کره شمالی با چنین روشی تلاش کردند تا خود را به عنوان متخصصان امنیت شبکه جا بزنند و از طریق ایمیل های حاوی بدافزار، به اطلاعات کاربری کارمندان چند صرافی در کره جنوبی، دست یابند. هکر ها در تلاش برای رخنه در سیستم تایید دو مرحله ای در تلفن های هوشمند کارمندان هدف حمله بودند؛ با این حال به گفته پلیس، شکست خوردند. برای مشاهده این خبر به صورت کامل، اینجا را کلیک کنید.

نگاهی به دزدی های تاریخی بیت کوین و آلتکوین ها

روشن است که از سرمایه گذاران، انتظار تخصص در زمینه امنیت شبکه و آشنایی با زیر بنای امنیتی صرافی های آنلاین وجود ندارد؛ بنابراین، باید مراقب سرویس های ارائه دهنده آنلاین بیت کوین باشید! بسیاری از صرافی ها که حتی در گذشته هدف حملات هکری قرار گرفته اند، هنوز از زیربنای مطلوب شبکه، برخوردار نیستند و همچنان مستعد بروز هک و دزدی اند. صرافی ها و پلتفرم های حرفه ای و با سابقه را بشناسید و با دقت، محل کیف پول آنلاین خود را تعیین کنید.

• مقادیر کمی از بیت کوین در حد استفاده روزانه، در دسترس موبایل و اینترنت قرار دهید! بقیه را به صورت آفلاین (cold storage)، نگهداری کنید.
• از کیف پول خود back up تهیه کنید.
• گذرواژه ای قوی انتخاب کنید و هرگز آن را فراموش نکنید. رمز عبور خود را به طور مرتب عوض کنید.
• از نرم افزار های شناخته شده و معتبر برای مدیریت گذرواژه های خود استفاده کنید.
• محتوای ایمیل های مشکوک یا ناشناس را هرگز دانلود نکنید.
• از سیستم تایید دو مرحله ای که یکی از آن شامل تایید SMS است، برای حساب گوگل یا کیف پول، استفاده نکنید! در غیر این صورت امکان رخنه SS7 و هک شدن حساب کاربری شما وجود دارد.
• به افراد ناشناس اعتماد نکنید و اطلاعات حساب یا حتی ایمیل خود را به آن ها ندهید.

در صورتی که از کیف پول کاغذی استفاده می کنید:

• به هیچ وجه، کلید خصوصی دارایی رمزنگاری شده خود را در هیچ وب سایتی وارد نکنید. (برای اطلاع از موجودی حساب خود، کلید عمومی را در کاوشگر بلاکچین مربوطه، وارد نمایید.)
• از کلید های خصوصی، بهتر است یک بار بیشتر استفاده نکنید.

در صورتی که از کیف پول های سخت افزاری استفاده می کنید:

• بک آپ یا واژه های پشتیبان آن را در محل امنی نگه داری کنید.

 دریافت کاتالوگ این مقاله:

بیشتر بخوانید:

کلاهبرداری در لباس پروژه مبتنی بر بیت کوین را چگونه شناسایی کنیم؟

تلاش برای دو بار خرج کردن بیت کوین کش لو رفت!

سوء استفاده وب سایت ها از سیستم کاربران برای استخراج + راه مقابله

منابع:

https://www.theverge.com/2013/12/19/5183356/how-to-steal-bitcoin-in-three-easy-steps

https://www.cryptocoinsnews.com/stealing-bitcoin-with-a-name-and-a-phone-number/

https://coins.newbium.com/post/655-the-10-biggest-bitcoin-hacks-in-history

https://bitcoin.org/en/secure-your-wallet

دیدگاه هایی که در این مقاله ارائه شده اند، متعلق به نویسنده می باشند و لزوماً مربوط به Coiniran نمی باشد و نباید به آن نسبت داده شود.

image