پشت پرده بزرگ‌ترین کلاهبرداری‌های رمزارزی؛ درس‌هایی برای حفظ سرمایه

سرمایه‌گذاری روی ارز دیجیتال چقدر امن است؟

امنیت، یک مفهوم مطلق نیست. هر فعالیت ما در دنیای ارزهای دیجیتال ریسک‌هایی دارد و تنها با آگاهی از این ریسک‌ها و انجام اقدامات مناسب است که می‌توان احتمال وقوع خطرات را کمینه کرد. به طور کلی اگر شما اطلاعات خود را به روز نگهدارید و از روش‌های امن برای نگهداری دارایی دیجیتال خود استفاده کنید؛ جای پایتان محکم خواهد بود. اما اگر درگیر پروژه‌های پرریسک شوید و درباره امنیت ارزهای دیجیتال مطالعه نکنید؛ شانس از دست دادن دارایی‌هایتان افزایش پیدا می‌کند. با نگاه انداختن به جدول زیر، می‌توانید ببینید که برخی از معروف‌ترین کلاهبرداری‌ها و دزدی‌های تاریخ کریپتو در چه زمینه‌هایی رخ داده‌اند.

در ادامه، هر مورد را بررسی کرده و می‌کوشیم یک درس مهم از آن رویداد بیاموزیم.

اولین سرقت بزرگ بیت کوین: ۲۵۰۰ عدد

کاربر allinvain یک روز صبح از خواب بیدار می‌شود و متوجه می‌شود ۲۵ هزار بیت کوین از کیف پولش خارج شده و به آدرس «1KPTdMb6p7H3YCwsyFqrEmKGmsHqe1Q3jg» منتقل شده است. او یک پست در تالار گفتگو بیت کوین تاک (Bitcointalk) می‌نویسد و از دیگران کمک می‌خواهد؛ اما متاسفانه کاری از کسی بر نمی‌آید.

این اولین دزدی بیت کوین در تاریخ است، یعنی ۱۳ ژوئن ۲۰۱۱! او طی این سرقت چیزی حدود ۵۰۰ هزار دلار از دست داد؛ مبلغی که اکنون ۲۷۵ میلیون دلار ارزش دارد. هکرها از طریق کامپیوتری که به ویروس آلوده بود توانسته بودند به کیف پول ارز دیجیتال او نفوذ کنند و بیت کوین‌ها را به کیف پول خود منتقل کنند.

درسی که می‌گیریم: اگر مقدار زیادی دارایی داریم، یا آن را روی کیف پول سخت‌افزاری نگهداری کنیم یا نرم‌افزار ولت را روی کامپیوتری نصب کنیم که به اینترنت متصل نیست و امکان ویروسی شدن آن حداقل است.

Mt. Gox: اولین صرافی‌ای که مورد حمله قرار گرفت، ۲۵ هزار بیت کوین

این مورد بیشتر از این که دزدی مستقیم باشد، دستکاری بازار بود. هکرها در ۱۹ ژوئن ۲۰۱۱ توانستند به حساب کاربری یک حسابرس از صرافی Mt. Gox دست پیدا کنند. سپس با اختیاراتی که به دست آورده بودند یک سفارش فروش خیلی بزرگ در صرافی ثبت کردند که منجر به ریزش قیمت بیت کوین به حدود ۰.۰۱ دلار شد. سپس با حساب‌های خود، بیت کوین‌ها را در قیمت یک سنت خریداری کردند و سپس بیت کوین‌ها را به کیف پول‌های خود برداشت کردند.

این ماجرا درست چند روز پس از هک کیف پول آقا یا خانم allinvain رخ داد و نشان داد که برای حفظ امنیت بیت کوین‌ها، باید امنیت کامپیوترها را نیز فراهم کرد. همچنین وقوع دو هک پشت سر هم، ترس زیادی به دل افراد انداخت و تا انتهای آن سال قیمت بیت کوین از حدود ۳۰ به ۳ دلار ریزش کرد.

درسی که می‌گیریم: اگر از صرافی‌ها برای خرید و فروش استفاده می‌کنیم، از سفارش‌های Limit (سفارش محدود) بیشتر از Market (سفاش بازار) استفاده کنیم؛ تا اگر چنین ریزش‌های ناگهانی‌ای (که Flash Crash نامیده می‌شوند) رخ داد، معامله ما در قیمت‌های دستکاری شده انجام نشود.

گم کردن فایل کیف پول = ۱۷ هزار بیت کوین ضرر

یک روز عادی، ۱ آگوست ۲۰۱۱. متخصصان فنی صرافی Bitomat می‌خواستند یک به‌روزرسانی معمولی روی سرورهای خود انجام دهند؛ اما به طور اتفاقی فایل wallet.dat را، که کلید خصوصی کیف پول بیت کوین صرافی در آن وجود داشت پاک کردند. متاسفانه هیچ نسخه دیگری از کلید خصوصی کیف پول وجود نداشت و این بیت کوین‌ها برای همیشه گم شدند!

درسی که می‌گیریم: همیشه ۱۲ یا ۲۴ کلمه عبارت بازیابی خود را روی کاغذ یادداشت کنید و در محل امنی از آن نگهداری کنید. اگر روزی موبایل یا کامپیوتر شما از کار افتاد، می‌توانید دوباره با این کلمات به کیف پول خود دسترسی داشته باشید.

اولین کلاهبرداری هرمی (پانزی): ۱۵۰ هزار بیت کوین

هرجا صحبت از سود بالا می‌شود، باید احتیاط کرد؛ اما در جولای ۲۰۱۲ کسی اهل احتیاط نبود. Bitcoin Savings and Trust نام شرکتی بود که وعده سودهای بالا، در ازای سپرده‌گذاری بیت کوین داده بود. این تیم خدمت خود را «هج فاند مجازی» نامیده بود؛ اما در ۲ جولای ۲۰۱۲ ناگهان ناپدید شد و تمام سرمایه‌گذاران خود را به مالباختگان تبدیل کرد.

درسی که می‌گیریم: هر گاه سود زیادی به ما وعده داده شد، با شک به آن نگاه کنیم. بپرسیم این سود از کجا می‌آید و چطور تامین می‌شود. فراموش نکنیم که هیچ طرحی نمی‌تواند یک شبه ما را پولدار کند.

باز هم Mt. Gox، این بار حدود ۸۵۰ هزار بیت کوین!

هک اولیه Mt Gox در سال ۲۰۱۱ را حتما یادتان است. این صرافی در سال ۲۰۱۴ یک بار دیگر و این سری در ابعادی بسیار گسترده‌تر مورد حمله قرار گرفت. در این حمله، حدود ۴۶۰ میلیون دلار بیت کوین از صرافی خارج شد. گزارش‌ها نشان می‌دهد که مهاجمان با ایجاد و تزریق بیت کوین‌های جعلی (fake bitcoins) توانستند سیستم را فریب دهند و به دارایی‌های واقعی دسترسی پیدا کنند.

این اتفاق یکی از نخستین هک‌های بزرگ در تاریخ بیت کوین بود و پیامدهای گسترده‌ای به همراه داشت. پس از افشای ماجرا، ده‌ها شکایت از سوی کاربران، فروشندگان و شرکای تجاری علیه Mt. Gox مطرح شد. مارک کارپلز (Mark Karpelès)، مدیرعامل صرافی، به دلیل ضعف‌های مدیریتی و فنی، از جمله عدم استفاده از سیستم Version Control برای کد منبع سایت، در مرکز بسیاری از این پرونده‌ها قرار گرفت. نبود ورژن کنترل باعث می‌شد هر برنامه‌نویسی بتواند ناخواسته کدهای حساس را بازنویسی کند و کل سامانه را در معرض خطر قرار دهد.

در نهایت، با افشای اسناد داخلی مشخص شد که Mt. Gox بیش از ۷۴۷ هزار بیت کوین از دارایی مشتریان را از دست داده است و تنها ۱۰۰ هزار بیت کوین بازیابی شد. این صرافی تعطیل شد و پرونده آن هنوز در دادگاه‌های ژاپن در جریان است. در سال‌های اخیر، مدیران با ارائه طرح‌های مختلف به دادگاه منطقه‌ای توکیو، در تلاش‌اند تا بخشی از دارایی‌ها را به کاربران متضرر بازگردانند؛ اما تا امروز بسیاری از قربانیان هنوز موفق به دریافت بیت کوین‌های خود نشده‌اند.

درسی که می‌گیریم: هرگز سرمایه زندگی خود را در صرافی نگهداری نکنیم. همیشه احتمال هک صرافی‌ها وجود دارد؛ پس بهتر است تنها سرمایه‌ای در صرافی بماند که قصد داریم با آن معامله کنیم.

یک بار دیگر کلاهبرداری پانزی و هرمی: OneCoin

انسان موجودی است طمع‌کار و البته فراموشکار. در سال ۲۰۱۸، پروژه OneCoin که یک شرکت بازاریابی چندسطحی معرفی می‌شد، در واقع یکی از بزرگ‌ترین طرح‌های پانزی تاریخ ارزهای دیجیتال بود. بنیان‌گذاران این پروژه با وعده سودهای کلان، هزاران سرمایه‌گذار ناآگاه را فریب دادند تا سرمایه‌های خود را به این طرح واریز کنند. سپس این وجوه از طریق چندین شرکت صوری در سراسر جهان پول‌شویی شد. در سپتامبر ۲۰۱۸، فردی آمریکایی به نام مارک اسکات (Mark Scott) به اتهام مشارکت در این کلاهبرداری و سرقت حدود ۴۰۰ میلیون دلار بازداشت شد. او متهم است که بخشی از این پول را برای خرید عمارت مجلل شخصی در ایالت ماساچوست هزینه کرده است.

هک بزرگ دائو: بدنام‌ترین هک تاریخ ارزهای دیجیتال

فکر می‌کنید بلاکچین تغییر ناپذیر است؟ اتریوم یک بار در تاریخ خود این تجربه را داشت که زمان را به عقب برگرداند! هک DAO در ۱۷ ژوئن ۲۰۱۶ یکی از بدنام‌ترین رویدادها در تاریخ دنیای رمزارزهاست که مسیر دومین ارز دیجیتال بزرگ جهان، یعنی اتریوم (Ethereum) را برای همیشه تغییر داد. پروژه DAO یک صندوق سرمایه‌گذاری جمعی بود تا کاربران بتوانند به صورت گروهی درباره محل سرمایه‌گذاری تصمیم بگیرند و این کار را برای اولین بار در تاریخ طی رای‌گیری‌های غیرمتمرکز انجام دهند. اما مدت کوتاهی پس از آغاز فعالیت، یک هکر با سواستفاده از نقص امنیتی در کد قرارداد هوشمند DAO توانست حدود ۳.۶ میلیون اتریوم را به حسابی تحت کنترل خود منتقل کند.

ارزش این وجوه در آن زمان حدود ۷۶ میلیون دلار برآورد می‌شد. اختلاف‌نظر بر سر نحوه برخورد با این اتفاق، جامعه اتریوم را به دو شاخه تقسیم کرد: گروهی معتقد بودند باید بلاکچین را به عقب برگرداند تا دارایی‌ها بازیابی شوند، در حالی که گروه دیگر بر پایبندی به اصل «غیرقابل‌تغییر بودن بلاکچین» اصرار داشتند. نتیجه این اختلاف، انشعاب تاریخی میان Ethereum (ETH) و Ethereum Classic (ETC) بود؛ تصمیمی که با یک هارد فورک عملی شد.

اتریومی که این روزها استفاده می‌کنیم، اتریومی است که هک را در آن بی‌اثر کردند؛ یعنی به زبان ساده بلاکی که در آن دارایی‌ها به هکر منتقل شده بود حذف شد (ماینرها آن بلاک را غیرمعتبر اعلام کردند) و بلاکچین دو شاخه شد. نام شاخه قدیمی (که هک همچنان در آن پابرجا بود) به اتریوم کلاسیک تغییر یافت.

درسی که می‌گیریم: فراموش نکنیم که تمام پلتفرم‌های غیرمتمرکز، ممکن است هک شوند. پس همیشه سرمایه‌ای را واردشان کنیم که توانایی از دست دادنش را داشته باشیم.

خوش‌قلب‌ترین هکر کریپتو: پالی نتورک (Poly Network)

اگر بخواهید توکن ارز دیجیتال را از روی شبکه‌ای به شبکه دیگر منتقل کنید، باید از پلتفرم‌هایی به نام پل‌های بلاکچینی (Blockchain Bridges) استفاده کنید. پالی نتورک یکی از این پل‌ها بود که میان بلاکچین‌های اتریوم، بی‌ان‌ای چین و پالیگان ارتباط برقرار می‌کرد.

در ۱۰ اوت ۲۰۲۱، این شبکه هک شد و حدود ۶۱۰ میلیون دلار دارایی از آن دزدیده شد. این پلتفرم در پستی در شبکه ایکس از هکر خواست که به میز مذاکره بیاید و دارایی‌ها را پس دهد. برخلاف تصور جامعه، هکر پاسخ داد! این فرد یا گروه به مکالمه با تیم پالی نتورک پرداخت و گفت که قصد دزدی نداشته و فقط می‌خواسته ضعف امنیتی این پلتفرم را اثبات کند. او سپس تقریبا تمام دارایی‌ها را پس داد و به خاطر این رفتار مهربانانه‌اش با نام مستعار «آقای کلاه سفید» معروف شد. هکر کلاه سفید به شخصی گفته می شود که از توانایی هک خود برای یافتن آسیب‌پذیری‌های امنیتی در نرم‌افزار، سخت‌افزار یا شبکه‌ها استفاده می کند.

پالی نتورک نیز در ازای پس دادن دارایی‌ها، ۵۰۰ هزار دلار جایزه (Bug Bounty) به «آقای کلاه سفید» وعده داد. برخی افراد مثل خانم Katie Paxton-Fear که خودش یک هکر کلاه سفید است، از «کلاه سفید» نامیدن این هکر ناشناس اظهار عصبانیت کرد؛ زیرا عقیده داشت این عمل یک هک کلاه سفید نبوده بلکه بیشتر تهدیدی برای سرمایه افراد بی‌گناه بوده است. در گزارشی از BBC به نقل از ایشان می‌خوانیم:

هک کلاه سفید یعنی کار کردن در چارچوبی مشخص: به هر سیستمی نفوذ نمی‌کنیم، با تیم مالک همکاری نزدیک داریم و فقط تا حدی پیش می‌رویم که خطر را نشان دهد، سپس گزارشی حرفه‌ای و دقیق از یافته‌ها ارائه می‌کنیم.

درسی که می‌گیریم: تمام سرمایه‌مان را در استخرهای نقدینگی پلتفرم‌ها قفل نکنیم. ممکن است همیشه مثل مورد پالی نتورک شانس با ما یار نباشد و هکر همکاری‌های لازم را با ما نکند!

توکن اسکویید گیم: به سیاهی ماهی مرکب

تب و تاب سریال اسکویید گیم را که فراموش نکرده‌اید؟ در سال ۲۰۲۱ توکنی با نماد SQUID ساخته شد که ادعا می‌کرد برای یک بازی به همین نام است که توسط طرفداران سریال اسکویید گیم توسعه داده شده است. به علت محبوبیت بالای این سریال، افراد شروع به خرید و سرمایه‌گذاری روی این توکن کردند. قیمت بالا رفت و درست زمانی که افراد می‌خواستند سودهای خود را برداشت کنند، با وضعیت غریبی روبرو شدند: توکن اسکویید امکان فروش نداشت!

این کلاهبرداری از جنس راگ پول بود، یعنی تیم سازنده توکن با دستکاری قرارداد هوشمند جلوی فروش را گرفتند، خودشان فروختند و تمام سرمایه‌گذاران با توکنی که حالا ارزشش صفر شده بود روبرو شدند. گفته می‌شود که طی این پروژه کلاهبرداران حدود ۳.۳۸ میلیون دلار سرمایه برای خود نقد کردند.

درسی که می‌گیریم: مهم نیست که یک توکن چقدر صدا کند، پیش از سرمایه‌گذاری باید ویژگی‌های توکن را از روی قراردادهای هوشمندش بررسی کنیم. حتی ممکن است یک توکن در ابتدای کار همه چیزش طبیعی باشد، اما برنامه‌نویسان این امکان را داده باشند که در آینده معاملات را متوقف کنند. پس حتما باید توکن‌ها را به صورت دقیق با ابزارهایی مثل de.fi بررسی کرد.

آیا نجات کودکان می‌تواند یک کلاهبرداری باشد؟

نظرتان درباره پروژه‌ای که می‌گوید قرار است بخشی از کارمزد تراکنش‌هایش را به خیریه اهدا کند چیست؟ نیت بسیار زیبایی است؛ اما آیا قرارداد هوشمند هم همین را می‌گوید؟ Save The Kids یک پروژه پامپ و دامپ بود؛ یعنی با حمایت اینفلوئنسرهای مجازی رشد کرد و زمانی که قیمت بالا رفت، هولدرهای اصلی شروع به فروش‌های سنگین کردند تا این که قیمت ریخت و باز هم سرمایه‌گذاران معمولی سرشان کلاه رفت.

در این پرونده، یوتوبرهای محبوب نقش پررنگی در تبلیغ پروژه داشتند و زمانی که قیمت ریخت، تبلیغات خود را از فضای مجازی پاک کردند.

درسی که می‌گیریم: هرگز به توصیه اینفلوئنسرها و افراد مشهور، سرمایه و دست‌رنجمان را در ریسک قرار ندهیم.

مورد عجیب صرافی FTX: یک شکست، یا یک دزدی بزرگ؟

در نوامبر ۲۰۲۲، صرافی بزرگ FTX اعلام ورشکستگی کرد. همزمان با این اتفاق، حدود ۴۷۷ میلیون دلار از ذخایر این صرافی نیز به سرقت رفت! آیا این یک تصادف بود؟

عده زیادی همزمانی این دو رویداد را به عنوان یک کلاهبرداری تلقی کردند. هکر با تبدیل اتریوم و سایر ارزها به بیت کوین و سپس میکس کردن بیت کوین‌ها، سعی در پولشویی داشت. هویت این هکر همچنان ناشناس است؛ اما گمانه‌ها درباره او همچنان پابرجاست.

مطلب پیشنهادی

میکسرهای رمزارز؛ مرز باریک میان حفظ حریم خصوصی و پول‌شویی

بای بیت، نامی آشنا برای ایرانی‌ها!

۲۱ فوریه ۲۰۲۵، زمانی که بیت کوین مشغول بازیگوشی با رکورد جدید قیمتی‌اش بود، بزرگ‌ترین هک تاریخ ارزهای دیجیتال به مبلغ تقریبی ۱.۵ میلیارد دلار رقم خورد. یک گروه هکری به نام Lazarus Group که وابسته به کره شمالی است حدود ۴۰۰ هزار اتریوم از کیف پول سرد صرافی ByBit سرقت کرد.

این تیم از نقص امنیتی در زیرساخت چندامضایی کیف پول‌های این صرافی سواستفاده کرد و نشان داد که حتی کیف پول‌های سرد بزرگ‌ترین صرافی‌های ارز دیجیتال نیز در امنیت کامل نیستند. البته کاربران این صرافی خوش‌شانس بودند؛ زیرا بای بیت ادعا کرده که تمام دارایی‌های را به صاحبانشان بر می‌گرداند.

کلاهبرداری‌های ارز دیجیتال در سال ۲۰۲۵

به گزارش chainalysis، در سال ۲۰۲۵ تا به امروز بیش از ۲.۱۷ میلیارد دلار ارز دیجیتال به سرقت رفته که این رقم، از کل خسارات سال ۲۰۲۴ بیشتر است. البته بخش بزرگ این رقم به لطف گروه هکری لازاروس و مربوط به هک ۱.۵ میلیارد دلاری صرافی Bybit بود. تا پایان ژوئن، میزان دارایی‌های سرقت شده در سال جاری ۱۷ درصد بیشتر از سال ۲۰۲۲، یعنی بدترین سال ثبت شده در گذشته، بوده است. اگر این روند ادامه‌دار باشد، مجموع سرقت‌ها می‌تواند تا پایان سال از ۴ میلیارد دلار نیز بیشتر شود. علاوه بر این‌ها، حمله‌ها به کیف پول‌های شخصی نیز رشد داشته و امروزه بیش از ۲۳ درصد از کل سرقت‌های رمزارزی را شامل می‌شود.

این روزها که قیمت بیت کوین در حال ثبت سقف‌های تاریخی است، حمله آچار فرانسه (Wrench Attack) نیز افزایش یافته است؛ یعنی تهدید کردن افراد به صورت فیزیکی برای گرفتن کیف پول یا کلمات بازیابی از سرمایه‌گذار.

مطلب پیشنهادی

کلاهبرداری تتر چیست و چگونه از سرمایه خود محافظت کنیم؟

جمع‌بندی

دنیای ارزهای دیجیتال، دست کمی از زد و خوردهای فیلم‌های اکشن ندارد؛ پر از هیجان، طمع، زیرکی و گاهی فریب. از اولین دزدی بیت کوین در سال ۲۰۱۱ تا هک میلیارد دلاری بای بیت در سال ۲۰۲۵، یک پیام مشترک وجود دارد: امنیت در بلاکچین هیچ‌وقت صددرصدی نیست. گاهی هکرها با یک ویروس ساده وارد کیف پول می‌شوند، گاهی صرافی‌ها با ضعف کدنویسی سقوط می‌کنند و گاهی طمع، قربانیان را در دام طرح‌های هرمی (پانزی‌ها) می‌اندازد. از هک DAO گرفته تا طرح هرمی OneCoin و هک Poly Network، هر رویداد یادآور این واقعیت است که دانش، احتیاط و مدیریت شخصی دارایی‌ها، تنها دفاع واقعی در برابر دنیای بی‌رحم کریپتو هستند. امروز که بیت کوین از لحاظ قیمتی در اوج خود ایستاده، تاریخ تاریک آن به ما یادآوری می‌کند که باید دودستی سرمایه‌مان را بچسبیم و با کسب آگاهی، محافظ سرمایه‌مان باشیم.

سوالات متداول