داستان هک صرافی Mt.Gox، بزرگترین سرقت تاریخ بیت کوین !
نوشته شده توسط:امیر سلامی در | ۰۱ دی ۱۳۹۷ - ۱۵:۲۴ | ۰ دیدگاهدر اوایل سال ۲۰۱۴، صرافی ژاپنی Mt.Gox بزرگترین صرافی بیت کوین در جهان به شمار میرفت و کنترل بیش از ۷۰ درصد از معاملات بیت کوین جهان را در دست داشت. در اواخر فوریه (اسفند) همان سال، این صرافی ورشکسته شد.
صرافی بیت کوین MT.Gox قربانی یک هک بزرگ بود و حدود ۷۴۰٬۰۰۰ بیت کوین (٪۶ بیت کوینهای موجود آن زمان) را از دست داد که ارزشش در آن موقع، معادل ۴۶۰ میلیون یورو و در اکتبر ۲۰۱۷ معادل ۳ میلیارد دلار بود.
بهعلاوه، ۲۷ میلیون دلار نیز از حسابهای بانکی این شرکت دزدیده شد. با اینکه ۲۰۰٬۰۰۰ بیت کوین دزدیدهشده بازیابی شدند، اما ۶۵۰٬۰۰۰ بیت کوین دیگر هرگز پیدا نشدند.
در این مقاله پیدایش و سقوط صرافی Mt.Gox و نتایج حاصل از هک آن را با یکدیگر تشریح کرده و بررسی میکنیم.
آیا این هک ممکن است مجددا اتفاق بیفتد؟
پیدایش صرافی Mt.Gox
این صرافی در سال ۲۰۱۰ توسط یک برنامهنویس آمریکایی به نام جد مک کلاب (Jed McCaleb) که کمی بعدریپل را پایهگذاری کرد، شروع به کار نمود. یک توسعهدهندهی فرانسوی و یکی از علاقهمندان به بیت کوین به نام مارک کارپلس (Mark Karpelés) در مارس ۲۰۱۱، MT.Gox را خرید. این صرافی بهسرعت رشد کرده و به محبوبترین صرافی بیت کوین در جهان تبدیل شد. همچنین، جالب است بدانید که Mt.Gox با نام کامل Magic The Gathering Online Exchange نیز شناخته میشود.
در ژوئن ۲۰۱۱ این صرافی هک شد. به نظر میرسد این اتفاق، به علت وجود آسیبپذیری در کامپیوتر یکی از حسابداران شرکت به وجود آمد. در این حادثه، هکر با دسترسی به صرافی، ارزش اسمی بیت کوین را بهطور مصنوعی تا ۱ سنت کاهش داد و حدود ۲۰۰۰ بیت کوین را از حسابهای کاربران صرافی بالا کشید و آنها را فروخت. علاوه بر آن، حدود ۶۵۰ بیت کوینی که توسط مشتریان Mt.Gox به علت کاهش مصنوعی قیمت خریداری شد، هیچ یک بازگردانده نشدند. درنتیجه این هک، صرافی Mt.Gox تصمیم به اتخاذ چند معیار امنیتی جدید گرفت که شامل ذخیرهی مقدار قابلتوجهی از بیت کوینهای خود به صورت آفلاین و در کیفپولهای سرد بود.
علیرغم هک Mt.Gox در ژوئن ۲۰۱۱، این صرافی موفق به کسب عنوان بزرگترین صرافی بیت کوین جهان در سال ۲۰۱۳ شد. این موضوع موجب علاقهمندی افراد به بیت کوین بهعنوان یک ارز ارزشمند و افزایش قیمت آن شد. (از ۱۳ دلار در ژانویه ۲۰۱۳ به بیش از ۱۲۰۰ دلار رسید)
کشمکشهای پشت پرده
با وجود اینکه Mt.Gox بهسرعت توانست در سال ۲۰۱۳ به لقب بزرگترین صرافی بیت کوین جهان دست یابد، اما در پشت پرده همچنان تنشهایی در جریان بود. از زمان فروپاشی و هک قبلی این صرافی، بعضی از کارمندان این شرکت راجع به اینکه این صرافی چطور کار میکند؛ با ایجاد تصویری از یک سازمان بینظم و متضاد، بهرهگیری از روشهای امنیتی ضعیف، وجود مشکلات جدی در سورس کد سایت صرافی و چندین مشکل در حال رشد دیگر که عملیات تجاری شرکت را تحت تأثیر قرار میداد، سبب تخریب چهرهی صرافی شدند.
در تاریخ ۵ می ۲۰۱۳، یکی از شرکای تجاری Mt.Gox به نام کوین لب (Coinlab) با ادعای نقض قرارداد، Mt.Gox را به پرداخت غرامت ۷۵ میلیون دلاری محکوم کرد. این دو شرکت توافقنامهای را امضا کردند که تحت آن، ارائه سرویس به مشتریان آمریکایی Mt.Gox بر عهده شرکت کوین لب قرار میگرفت. اما با توجه به طرح دعوی مطرح شده توسط شرکت کوین لب، این معامله به دلیل زیر پا گذاشتن یک بند از قرارداد توسط صرافی Mt. Gox نقض شده بود.
بهعلاوه، طبق بررسیهای انجام شده توسط آژانس امنیت ملی ایالاتمتحده، یکی از شرکتهای آمریکایی تابع Mt.Gox، بدون داشتن مجوز و بهعنوان یک شرکت انتقال پول ثبت نشده در حال فعالیت بود. بنابراین با ادامه این تحقیقات، مبلغ ۵ میلیون دلار از حساب بانکی این شرکت توسط دولت آمریکا کشف و ضبط شد.
درنتیجه تحقیقات دولت آمریکا، صرافی Mt.Gox اعلام کرد که بهطور موقت اقدام به تعلیق قابلیت برداشت دلار از حساب کاربری مشتریان خود خواهد کرد. پس از این اتفاق، در حالی که اکثر منابع رسمی، مدت تعلیق در برداشت از حسابها را تنها یک ماه عنوان کرده بودند، بسیاری از کاربران تا ۳ ماه نمیتوانستند پول خود را از این صرافی برداشت کنند و تنها برخی از برداشتهای دلاری از حسابها موفقیت آمیز بود. مجموع این تاخیرها در ارائه خدمات سبب کاهش مقام Mt.Gox بهعنوان بزرگترین صرافی بیت کوین جهان به رتبهی سوم تا پایان سال ۲۰۱۳ شد.
با این حال، آنطور که پیداست موارد ذکر شده تنها بخش کوچکی از مسائل آنان را تشکیل میدادند و در زیرپوشش این شرکت، Mt. Gox مشکلاتی بسیار بزرگتر از تصور خود داشته است. به نظر میرسد که این صرافی برای بیش از دو سال قربانی یک هک دنبالهدار بوده است.
هک بزرگ Mt.Gox
در تاریخ ۷ فوریه ۲۰۱۴، Mt.Gox تمام درخواستها و قابلیت برداشت بیت کوین را صرفاً با ادعای بازنگری فنی و بررسی دقیق فرایند این ارز، متوقف کرد. درنهایت و پس از چند هفته بلاتکلیفی، در ۲۴ فوریه ۲۰۱۴ این صرافی تمام معاملات را مسدود کرده و وبسایت این شرکت از دسترس خارج شد. در همان هفته و بهواسطهی یک سند درز کرده از شرکت مشخص شد که هکرها با حمله به این صرافی، تعداد ۷۴۴٬۴۰۸ بیت کوین متعلق به مشتریان Mt.Gox بهعلاوه ۱۰۰٬۰۰۰ بیت کوین متعلق به خود صرافی را به سرقت بردهاند که درنتیجه این اتفاق، شرکت اعلام ورشکستگی کرده است. در ادامه نیز این صرافی در در تاریخ ۲۸ فوریه و ۱۲ مارس در ژاپن و آمریکا بهطور رسمی اعلام ورشکستگی کرد.
تحقیقات بعدی در رابطه با هک بزرگ Mt.Gox نشان داد که اولین حملات ناشی از این هک بسیار قبلتر و از سپتامبر ۲۰۱۱ آغاز شده بود. بنابراین، پیداست که این صرافی در حالی به فعالیت خود ادامه داده است که از دو سال پیشتر ورشکسته بوده و عملاً تمام بیت کوینهایش را تا میانهسال ۲۰۱۳ از دست داده است. بهعلاوه، شواهد و مدارک نشان دادند Mt.Gox بیش از ۸۰٬۰۰۰ بیت کوین را نیز پیش از خرید آن توسط Mark Karpelés در ۲۰۱۱ از دست داده است.
اگرچه با ادامه تحقیقات، حقیقت همچنان در هالهای از ابهام قرار دارد اما بر طبق یک فرضیه، اکثر بیت کوینها از کیف پولهای آنلاین ( یا کیف پول گرم) این صرافی به سرقت رفتهاند که شامل ارزهایی که بهواسطهی نفوذ در کیف پول آنلاین از کیف پول های سرد دزدیده شده نیز میشوند. کیف پول های آنلاین،کیف پول های مبتنی بر وب هستند که برای ذخیرهی کدهای دیجیتالی ایمن استفاده میشوند. این کدها که کلید خصوصی (Private Key) نام دارند، برای اثبات مالکیت کلید عمومی (Public Key) یا کدهای دیجیتالی عمومی مورد استفاده قرار میگیرند و در صورت تأیید مالکیت میتوان از آنها برای دسترسی به آدرس ارز و اطلاعات مربوط به آن در کیف پول استفاده کرد. تا پیش از سپتامبر ۲۰۱۱، کلیدهای خصوصی Mt. Gox به دلیل عدم رمزگذاری بهراحتی قابلمشاهده بودند که توسط یک هکر و یا شاید یکی از کارمندان داخلی شرکت در قالب یک فایل Wallet.dat دزدیده شدند.
پس از هک شدن این فایل، هکر(ها) بهتدریج و بهواسطهی کلیدهای خصوصی Mt.Gox توانستند بدون شناسایی شدن هک به بیت کوینهای رمزنگاری شده در حسابهای مرتبط با این شرکت دست یابند. ظاهراً، از آنجایی که سپردههای این شرکت بهواسطهی سیستم تفسیر نقل و انتقالات در حال ارجاع به یک آدرس ایمنتر بودند، این صرافی نسبت به استفاده مجدد کلیدواژه مشترک موجود در فایل کپی شده خود که به معنی وقوع یک سرقت است، بیتوجه بوده. همچنین به علت آنکه بیش از ۴۰٬۰۰۰ بیت کوین به چندین حساب کاربری مختلف فرستادهشده بود، سیستمهای Mt.Gox تنها زمانی میتوانستند این دزدی را تشخیص دهند که کیف پول شرکت کاملاً خالی شده باشد.
پیامدها
در مارس ۲۰۱۴، Mt.Gox با انتشار گزارشی در سایت خود به یافتن ۲۰۰٬۰۰۰ بیت کوین موجود در کیف پولهای دیجیتال قدیمی خود که مربوط به استفاده تا پیش از ژوئن ۲۰۱۱ بودند اشاره کرد. این بیت کوینها در حالی برای حفظ اعتماد طلبکاران نگهداری شدند که شرکت همچنان تحت قوانین حفاظت از ورشکستگی قرار داشت.
مارک کارپلس نیز در آگوست ۲۰۱۵ و در ژاپن به جرم تقلب و اختلاس بازداشت شد، در حالی که هیچیک از اتهامهای وی مستقیماً به موضوع سرقت مرتبط نبودند. او تا ماه جولای ۲۰۱۶ در زندان بود و پس از آزادی به قید وثیقه، درخواست بازنگری نسبت به اتهامات وارد شده به خود را داد که محاکمه وی تا این لحظه همچنان ادامه داشته است.
Mt. Gox در حالی تحت حفاظت قوانین مرتبط با ورشکستگی قرار گرفته که تحقیقات در رابطه با این شرکت همچنان ادامه دارد. بهعلاوه، دعوی قضایی Coinlab نیز همچنان ادامه دارد و تا پایان حل این پرونده امکان توزیع حقوق بستانکاران امکانپذیر نخواهد بود.
سرانجام پولها چه شد؟
درنتیجه هک Mt.Gox، همچنان ۶۵۰٬۰۰۰ بیت کوین بیاعتبار وجود دارد. در حال حاضر چندین نظریه مختلف در اینترنت عنوانشده که میتوانند پاسخی برای محل سکههای گم شده باشند. برخی از آنها احتمال میدهند که ادعای Mt. Gox مبنی بر داشتن این تعداد بیت کوین هرگز واقعی نبوده و آقای Karpelés برای بزرگنمایی در تعداد بیت کوینهای موجود در این صرافی، اعداد را دستکاری کرده است.
با ادای احترام به توانایی هکر در دستیابی به بیت کوینهای نگهداری شده در کیفپولهای سرد Mt. Gox، نظریههای محدودی برای این موضوع عنوان شده است که برخی از آنها از احتمال به خطر انداختن فضای ذخیرهسازی توسط فردی با دسترسی به سایت صحبت میکنند و در نظریهای دیگر گمان میشود زمانی که حجم پول کیف پول گرم کاهش پیدا میکرد تا سکههای کیفپول سرد متناوباً بهعنوان سپرده جدید به سیستم صرافی وارد شوند، به دلیل عدم مسئولیتپذیری کارمندان هیچکس از خالی شدن تدریجی حساب توسط هکرها مطلع نمیشد.
در جولای ۲۰۱۷، یک فرد روسی به نام الکساندر وینیک (Alexander Vinnik) توسط ایالاتمتحده در یونان و به اتهام شستشوی بیت کوینهای دزدیدهشده از Mt.Gox بازداشت شد. بهعلاوه، Vinnik توسط مقامات یونانی به شستشوی ۴ میلیون دلار بیت کوین دیگر نیز متهم شد. گفته میشود که این فرد یکی از افراد مرتبط با صرافی BTC-e است که در پولشویی بیت کوینهای به سرقت رفته از Mt.gox نقش داشته و در طی انجام تحقیقات توسط پلیس فدرال آمریکا (FBI) موردحمله قرار گرفته است. سایت BTC-e نیز بهطور کامل متوقف شد و نام دامنه آن نیز توسط FBI ضبط گردید. این نخستین بار است که ایالاتمتحده یک صرافی خارجی در کشورd دیگر را مصادره میکند. پس از بررسیهای انجام شده توسط تیم Wizsec (یک تیم متشکل از متخصصان امنیتی بیت کوین) مشخص شد که وینیک صاحب کیف پول هایی از بیت کوینهای انتقال داده شده است که بسیاری از آنها در صرافی BTC-e به فروش رفته بودند.
با وجود ادامهی محاکمهی مارک کارپلس و اتهام وارد شده به Vinnik، به نظر میرسد که سرنخهای تحقیقات بر روی هک Mt. Gox در نهایت به یکدیگر مرتبط شدهاند. حتی اگر تمام این اتفاقات بتوانند سبب بازیابی تمام یا بخشی از بیت کوینهای دزدیده شده شوند بازهم به نظر نمیرسد بتوانیم در آیندهای نزدیک شاهد جزئیات بیشتری در رابطه با هک صرافی Mt. Gox باشیم.
آیا دوباره اتفاق خواهد افتاد؟
در جواب کوتاه باید گفت، میتواند اتفاق بیافتد. در حال حاضر صرافیهای بیت کوین زیادی وجود دارند که برخی از آنها نسبت به دیگران از اعتبار بیشتری برخوردارند. صرافیهای محبوبی چون کوین بیس و بایننس در رابطه با عملیات خود نسبتاً شفاف هستند، همچنین ارائه سپردههای بیمهشده و حمایت مالی سرمایهگذاران معتبر نیز از سایر مزیتهای این صرافیها است. با این حال، این صرافیها در حال تبدیل به اهداف هکرهای خبرهای هستند که با پیدا کردن حفرههای امنیتی خشنود میشوند.
بهعلاوه، در حال حاضر تعداد زیادی از صرافی کوچکتر وجود دارند که اطلاعات واضحی از نحوه کارکرد آنها وجود ندارد. البته این موضوع به معنی هک شدن این صرافیها و بیاعتبار بودن آنان نیست. اما وقتی صحبت از خریدوفروش ارزهای دیجیتال به میان میآید، برای آرامش ذهن خودتان هم که شده، از صرافیهای معتبر در این حوزه استفاده کنید و در صورتی که قصد استفاده از یک صرافی کوچک را دارید، از قانونی بودن آن برای تضمین مبادلات خود اطمینان حاصل کنید.
اگر با مطالب گفته شده، همچنان ترسی در استفاده از این صرافیها ندارید، بهعنوان آخرین نکته به شما توصیه میکنم که هرگز از صرافیها برای ذخیره بیت کوینهای خود استفاده نکنید.
منبع: blockonomi
داستان هک صرافی Mt.Gox، بزرگترین سرقت تاریخ بیت کوین !
Mt. Goxارزهای دیجیتالبیت کوینصرافی Mt.Goxصرافی بیت کوینهک mt.goxهک بیت کوین
نظرات
ارسال نظر