هک اتمیک والت (Atomic Wallet) چطور اتفاق افتاد و چقدر ارز سرقت شد؟

متاسفانه تعداد زیادی از کاربران کیف پول اتمیک والت، همزمان محو شدن رمز ارزهای خود را گزارش کرده‌اند. ابعاد وسیع حادثه نشان‌دهنده یک هک گسترده بوده که ابتدا بر اساس گزارش‌ها، به سرقت چند ده میلیون دلار منجر شده بود. تیم‌های امنیتی از اولین روز ماجرا یعنی 2 ژوئن 2023 (12 خرداد 1402) در حال بررسی علت هک کیف پول اتمیک والت هستند. در شبکه‌های اجتماعی گزارش‌هایی درباره گم شدن توکن‌ها، پاک شدن تاریخچه تراکنش‌ها و حتی از بین رفتن کل پرتفوی سرمایه گذاری کاربران شنیده می‌شود. در شهریور 1402، جزئیات بیشتر هک Atomic Wallet روشن شد و کاربران روسی از این کیف پول شکایت کرده‌اند. متاسفانه میزان دارایی دزدیده شده طی این حادثه مرز 100 میلیون دلار را رد کرد.

جزئیات هک گسترده کیف پول اتمیک والت؛ خرداد 1402

بر اساس بررسی‌های یک کارآگاه تجزیه و تحلیل آن چین با نام مستعار ZachXBT، در جریان هک شدن کیف پول اتمیک والت در روز 12 خرداد، حداقل 35 میلیون دلار (1,750 میلیارد تومان) رمز ارز دزدیده شده است (این رقم در نهایت به 100 میلیون دلار رسید). ارزش دارایی‌های پنج حساب بزرگی که قربانی هک اتمیک والت بوده‌اند، در مجموع 17 میلیون دلار (850 میلیارد تومان) بوده است. بین آن‌ها، بیشترین پول متعلق به فردی است که 7.95 میلیون دلار (397 میلیارد تومان) تتر روی شبکه ترون در کیف پول خود نگهداری می‌کرد. بر اساس توئیتی که شرکت‌سازنده Atomic Wallet در صفحه رسمی خود داخل توئیتر منتشر کرده، علت اصلی وقوع حادثه در دست بررسی است.

یک کارآگاه کریپتو با نام مستعار ZachXBT که از ابتدای وقوع اتفاق هک شدن کیف پول اتمیک والت فعالیت زیادی برای پیگیری جزئیات ماجرا داشته است، ضمن اشاره به سرقت بیش از 35 میلیون دلار در حادثه هک اتمیک والت، ادعا کرد این عدد به احتمال زیاد 50 میلیون دلار را نیز رد خواهد کرد(با اعلام 100 میلیون دلاری بودن مجموع رمز ارزهای مسروقه در شهریور ماه این ادعا ثابت شد). او مدعی شد با گذشت زمان، قربانیان تازه‌ای دزدیده شدن ارزهای دیجیتالشان را اعلام خواهند کرد. ممکن است آن‌ها هنوز متوجه سرقت دارایی‌های خود نشده باشند، یا طی روزهای آتی مورد حمله قرار بگیرند. او خرداد ماه با انتشار تصویر زیر گفت بر اساس گراف من، ارزش ارزهای دیجیتال هک شده از کیف پول‌های اتمیک والت از مرز 35 میلیون دلار فراتر رفته است.

سازنده Atomic Wallet معتقد است فقط 1 درصد کاربران تحت تاثیر قرار گرفته‌اند، اما نکته‌ای وجود دارد؛ بررسی‌ها نشان می‌دهند کیف پول‌های حاوی مقادیر زیاد رمز ارز سرقت شده‌اند. یعنی 1 درصد کاربرانی که تیم فنی اتمیک والت مدعی هک اتمیک ولت آن‌ها است، جزو دانه درشت‌ها بوده‌اند! گفتنی است اتمیک والت مدعی داشتن بیش از 5 میلیون کاربر در سراسر دنیا است.

سرقت پولی که قرار بود صرف تامین امنیت کاربران شود

وب‌سایت کوین تلگراف با یکی از قربانیان هک اتمیک والت مصاحبه کرد که از چند سال قبل، کاربر این کیف پول بوده است. وی احساسش را بسیار بد و وحشتناک توصیف کرد، چرا که خود یک کارشناس امنیت سایبری است. او نزدیک به 1 میلیون دلار به خاطر کمک به برنامه‌های پیدا کردن باگ در نرم افزارهای مختلف به دست آورده بود، اما حالا سرمایه‌اش را از دست داده است. رمز ارزهای وی شامل بیت کوین، دوج کوین، لایت کوین، اتریوم، تتر، یو اس دی کوین، بایننس کوین و متیک بوده‌اند.

به گفته وی، تیم Atomic Wallet ادعا می‌کند در حال بررسی موضوع است، اما هنوز چیز مشخصی برای ارائه ندارد، گویا خود از علت حادثه کاملا بی‌خبر است. این فرد ساکن ترکیه می‌خواست از پول دزدیده شده برای تاسیس یک شرکت امنیت سایبری بزرگ در کشورش استفاده کند، اما دیگر قادر به این کار نیست.

اتمیک والت غیرحضانتی است، اما همچنان هک شد

اتمیک والت یک کیف پول غیر حضانتی شناخته می‌شود،‌ به این معنی که مستقیما دخالتی در ذخیره‌سازی کلیدهای خصوصی نداشته و آن‌ها را به سرورهای خود نمی‌فرستد، و داخل دستگاهی که اپلیکیشن روی آن نصب شده نگه می‌دارد. با توجه به نوع کارکرد آن، در صفحه شرایط استفاده از خدمات Atomic Wallet ذکر شده که هیچ‌گونه مسئولیتی در قبال خسارت‌های آن چین وارد شده به کاربران نمی‌پذیرد، چون آن‌ها روی ارزهای دیجیتال خود کنترل کامل دارند. البته، در ارتباط با یک والت غیر حضانتی این ادعا صحیح است، اما وقتی برنامه اتمیک والت نفرات زیادی همزمان هک می‌شود، دیگر نمی‌توان تقصیر را گردن تک‌تک آن‌ها انداخت، و به احتمال زیاد پای مشکلی فنی در میان است. در بخشی از متن شرایط استفاده از خدمات این کیف پول گفته شده:

سازنده اتمیک والت تحت هیچ شرایطی در برابر خسارت‌های بیش از 50 دلار مسئولیتی ندارد.

متاسفانه توسعه‌دهنده تا کنون اطلاعات محدودی در اختیار یوزرهایش قرار داده است. آن‌ها روز 4 ژوئن 2023 (14 خرداد 1402)، در دومین پست توئیتری خود بعد وقوع هک اتمیک والت اعلام کردند:

تیم پشتیبانی در حال جمع‌آوری آدرس قربانیان است. ما برای ردیابی و مسدود کردن وجوه دزدیده شده، با صرافی‌های بزرگ و شرکت‌های تجزیه و تحلیل بلاک چین در ارتباط هستیم.

از افرادی که برای پیگیری ماجرا به پشتیبانی Atomic Wallet پیام داده‌اند، بیست سوال پرسیده شده که شامل نام ارائه‌دهنده اینترنت آن‌ها، استفاده یا عدم‌استفاده از VPN و نحوه ذخیره‌سازی عبارت بازیابی بوده است.

در کانال‌های عمومی تلگرام، عده‌ای معتقد هستند که یک پکیج دیپندنسی منسوخ شده، می‌تواند علت هک اتمیک ولت بوده باشد. پکیج‌های دیپندنسی ارتباط بین فعالیت‌های مورد نیاز داخل یک برنامه نظیر ترتیب انجام آن‌ها و کتابخانه‌های ضروری برای هر یک را شرح می‌دهند.

چنین حادثه‌ای، امنیت کیف پول‌های غیر امانی را کاملا زیر سوال می‌برد. همیشه تاکید بر این بوده که برای نگهداری رمز ارزها، از ابزارهایی که کلیدهای خصوصی را در اختیار خودتان قرار می‌دهند استفاده کنید، اما به نظر آن‌ها هم چندان امنیت ندارند و ممکن است در یک چشم بر هم زدن دارایی‌هایتان را از دست بدهید.

لازاروس گروپ؛ متهم ردیف اول هک Atomic Wallet

رمز ارزهای به‌دست آمده طی یکی از بزرگترین هک های ارز دیجیتال، به یک میکسر ارز دیجیتال مورد علاقه بدنام‌ترین گروه هکری کره شمالی منتقل شده‌اند. در روز 5 ژوئن (15 خرداد)، شرکت تجزیه و تحلیل بلاک چین Elliptic گزارش کرد که مبالغ دزدیده‌شده در جریان سرقت از Atomic Wallet به sinbad.io انتقال یافته‌اند. به گفته این شرکت، لازاروس گروپ قبلا از میکسر نام برده برای شستن (پولشویی) بیش از 100 میلیون دلار استفاده کرده‌ است. Elliptic به مقدار دارایی ارسال شده به sinbad.io اشاره‌ای نکرد، اما مدعی شد که قبل فرستادن به آن، ارزهای دزدیده شده در ماجرای هک اتمیک والت تبدیل به بیت کوین شده بودند.

این کمپانی فعال در زمینه تجزیه و تحلیل بلاک چین همچنین عقیده دارد sinbad.io همان نسخه تغییر نام یافته blender.io است، ابزاری که لازاروس گروپ قبلا برای پولشویی‌های عظیم استفاده می‌کرد. این اولین میکسری بود که توسط وزارت خزانه‌داری آمریکا تحریم شد.

شکایت از اتمیک والت و روشن شدن جزئیات بیشتر؛ شهریور 1402

در شهریور 1402 و با گذشت حدود 3 ماه از زمان وقوع حادثه، ارزش کل رمز ارزهای سرقت‌شده از هک Atomic Wallet به 100 میلیون دلار رسیده است.  5,500 نفر نیز خود را قربانی این حمله گزارش کرده‌اند.

در 26 اوت 2023 (4 شهریور 1402)، جمعی متشکل از 50 کاربر روس که قربانی هک 100 میلیون دلاری اتمیک والت شده بودند، شکایتی را علیه این کیف پول ثبت کردند. علاوه بر این، با اینکه در ابتدا برخی گروه کره شمالی لازاروس را مسئول این هک می‌دانستند، اما به گفته بوریس فلدمن (Boris Feldman) که مسئول هماهنگی قربانیان است، احتمالا گروهی اوکراینی در این حمله دست داشته است.

احتمال دست داشتن هکرهای اوکراینی و تلاش برای بازیابی ارزهای سرقتی

به استناد گزارشات اخیر، کاربران قربانی هک این ولت رمز ارزی در حال همکاری با یک وکیل آلمانی به‌نام مگ گوتبرود (Max Gutbrod) و هم‌بنیان‌گذار شرکت حقوقی روسی دسترا لیگال (Destra Legal) به‌نام بوریس فلدمن هستند. به گفته آقای گوتبرود، او و آقای فلدمن عهده‌دار وکالت حدود 50 نفر شده‌اند که هر کدام چیزی بین 150 هزار تا 2 میلیون دلار از دارایی‌های خود را از دست داده‌اند. ارزش دارایی‌های از دست رفته این 50 نفر تقریبا 12 میلیون دلار است. به گفته آقای گوتبورد:

ما در تلاش برای بازیابی دارایی‌های موکل‌های خود هستیم و یک شکایت حقوقی علیه اتمیک والت ثبت خواهیم کرد. آن‌ها هیچ اطلاعاتی درباره هک به موکل‌های ما نداده یا برای گزارش دادن به پلیس مراجعه نکرده‌اند.

علاوه بر این، شرکت دسترا لیگال با متخصصان تحلیل بلاک چین شرکت Match Systems در جهت انجام تحقیقات مجزا از طرف این قربانیان همکاری کرده است.

در ابتدا، تصور می‌شد گروه کره شمالی لازاروس در هک 100 میلیون دلاری اتمیک والت دست داشته است. اما امروز در شهریور 1402 و پس از تحقیقات 3 ماهه، به گفته آقای فلدمن، احتمالا هکرهای اوکراینی پشت ماجرا بوده‌اند. شایان ذکر است که استفاده از رمز ارزها پس از درگیری نظامی روسیه و اوکراین از فوریه 2022 تا کنون افزایش چشم‌گیری داشته است. به گفته آقای فلدمن:

از زمان آغاز جنگ شاهد افزایش قابل توجه استفاده از کرپیتو هستیم. بسیاری از مردم این کشور را ترک کرده و از رمز ارزها برای انتقال پول یا ذخیره سرمایه استفاده می‌کنند.

جزئیات دیگر پیرامون حمله به اتمیک والت

اتمیک والت در ابتدای این حمله خیلی شفاف عمل نکرد و تازه دو هفته پس از این اتفاق بیانیه‌ای ارائه داد. تیم این کیف پول گفته است که کمتر از 1 درصد مشتریان تحت تاثیر این هک قرار گرفته‌اند، اما بسیاری این ادعا را قبول ندارند. یکی از کاربران در توییتر گفته بود بیش از 1 واحد بیت کوین از دست داده و از این پلتفرم خواسته بود دارایی‌های سرقت‌شده وی را بازگردانند.

از دیگر جزئیات این حمله اینکه هکرها ابتدا از صرافی 1inch برای تبدیل ارزهای سرقتی به تتر استفاده کرده و سپس با ارسال آن‌ها به صرافی رمز ارزی روسی Garantex، به پولشویی پرداخته‌اند. این صرافی در لیست تحریم‌های دفتر کنترل سرمایه خارجی (OFAC) وزارت خزانه‌داری آمریکا قرار دارد.

علاوه بر این، به گفته برخی از منابع، هکرها حتی میلیون‌ها دلار توکن XRP سرقتی را به صرافی‌های متمرکز نظیر بایننس، هیوبی، کوکوین و دیگر موارد ارسال کرده‌اند.

کیف پول اتمیک والت چطور هک شد!؟

هیچ گروه هکری یا فرد خاصی مسئولیت این حمله سایبری بزرگ را بر عهده نگرفته و هنوز نحوه دقیق هک شدن کیف پول تعداد زیادی کاربر مشخص نیست، اما چند سناریو مطرح شده است. کاربری با نام کاربری 23pds در توئیتر، محتمل‌ترین سناریو درباره هک بزرگ کیف پول اتمیک والت را با دنبال‌کنندگانش مطرح کرد.

بررسی ابعاد حادثه بعد از مطرح شدن یک موضوع عجیب توسط کاربری دیگر به نام EMRE آغاز شد؛ او متوجه شد کیف پول Atomic Wallet وی تعداد زیادی درخواست http برای گرفتن لاگ (log) ارسال کرده است. داده‌های ارسالی از طریق درخواست وی، با یک متغیر به نام “userId” در سرور ثبت شده است. داخل تصویر زیر می‌توان این اتفاق را مشاهده کرد. بر اساس تصویر زیر، ارتباط والت این کاربر با سرور اتمیک والت با شناسه کاربری “userId” داخل سرور ذخیره شده است.

او سپس تصمیم گرفت عبارت بازیابی کیف پول خود را دو مرتبه داخل الگوریتم هشینگ SHA-256 قرار بدهد. نتیجه، بسیار جالب است؛ همانطور که می‌بینید، رشته کاراکتر حاصل همان چیزی است که در فیلد “userId” نوشته شده بود.

این یعنی هر مرتبه کاربر از کیف پول خود استفاده می‌کند، سوابق درخواستش همراه با رشته کاراکتر حاصل از دو مرتبه هش شدن عبارت بازیابی همان کیف پول، داخل پایگاه داده سازنده ذخیره می‌شود. اگر کمی درباره نحوه کار الگوریتم هشینگ بدانید، متوجه می‌شوید تا اینجا اتفاق خاصی نیفتاده است؛ الگوریتم SHA-256 یک طرفه بوده و نمی‌توان با داشتن خروجی، ورودی را پیدا کرد. پس هک اتمیک والت چطور اتفاق افتاده و هکر چطور موفق به دزدیدن بیش از 100 میلیون دلار رمز ارز شده است؟

در یک نوع حمله جستجوی فراگیر، هکر تعداد زیادی خروجی رمزنگاری شده در اختیار دارد و ورودی متناظر با هر کدام را نیز می‌داند. به عبارتی وی داده‌ای را در یک الگوریتم قرار داده (ورودی) و خروجی را به دست آورده است. در ادامه، وقتی به اطلاعات خروجی هدف دست یافت (مشابه userId که حاصل دو مرتبه هش شدن بود) آن را با بانک داده در اختیارش مقایسه می‌کند و موارد مشابه را کنار یکدیگر می‌گذارد. اگر یک داده نهایی مربوط به هدف با یک خروجی حاصل از یک ورودی متعلق به وی برابر باشد، کار تمام است.

اما همچنان هک اتمیک والت به این راحتی نیست، چرا که سید فریز این کیف پول دوازده کلمه‌ای بوده و درست کردن یک دیتابیس متشکل از تمام حالت‌های ممکن، تقریبا غیر ممکن است. در این رابطه، کاربر 23pds توضیح می‌دهد که مهاجم قدرت پردازشی زیادی در اختیار داشته و طی چند سال، یک دیتابیس عظیم متشکل از حالت‌های مختلف عبارت‌های بازیابی کیف پول (که دو مرتبه با استفاده از SHA-256 هش شده‌اند) برای خود درست کرده است. چنین چیزی از گروه هکری لازاروس، متهم ردیف اول حادثه هک اتمیک والت، بعید نیست البته همانطور که گفتیم، این کار بسیار دشوار است، به همین دلیل با وجود صرف چند سال برای تهیه کردن یک پایگاه داده، مهاجم فقط موفق به هک کردن یک درصد کاربران اتمیک والت شده است؛ پایگاه داده آن‌ها محدود بوده است.

بررسی‌ها نشان می‌دهد بیشتر کاربران اتمیک والت که هک شده‌اند، طی روزهای منتهی به حادثه از آن استفاده کرده بودند. این موضوع، احتمال حقیقت داشتن سناریوی بالا را بیشتر می‌کند.

توصیه‌هایی برای کاربران کیف پول Atomic Wallet

سه نکته مهم برای کاربران اتمیک والت داریم. البته این موارد درباره استفاده‌کنندگان از تمام والت‌های غیر حضانتی صدق می‌کنند، پس حتما به آن‌ها توجه کنید.

صفر شدن ارزها لزوما به معنی هک شدن کیف پول اتمیک نیست!

اتفاقاتی نظیر اختلال در دریافت اطلاعات از بلاک چین یا بروز مشکل در ارتباط با اینترنت ممکن است منجر به صفر شدن موجودی شما شوند، در حالی که ایراد فقط در نمایش ارزها است، و آن‌ها همچنان امن و امان سر جای خود هستند! برای اطمینان می‌بایست آدرس خود را در بلاک چین اکسپلورر شبکه مورد نظر وارد کرده و آخرین تراکنش‌ها را چک کنید.

ناپدید شدن ارزهای دیجیتال بسیار تلخ است، اما ممکن است دلایل دیگری به جز هک شدن کیف پول اتمیک والت وجود داشته باشند، پس در مرحله اول خونسردی خود را حفظ کرده و با مراجعه به مقاله «علت صفر شدن موجودی در کیف پول اتمیک والت» مراحل گفته شده را دنبال کنید. اگر در نهایت مطمئن شدید که جزو قربانیان هک اتمیک والت بوده‌اید، با پشتیبانی این کیف پول تماس برقرار کنید.

بعد از هک اتمیک والت از چاله به چاه سقوط نکنید

کاربر ناشناس با نام ZachXBT، از افراد قربانی در هک اتمیک والت خواست در ارائه اطلاعات به صفحه‌هایی که خود را پشتیبانی این کیف پول معرفی کرده یا به هر روش دیگر در تلاش برای (مثلا) بازیابی ارزهای دیجیتال آن‌ها هستند، احتیاط کنند؛ اکانت‌های متعددی طی چند روز گذشته مدعی کمک به بازگرداندن رمز ارزهای کاربران شده‌اند، اما در عمل آن‌ها فقط به دنبال اجرای کلاهبرداری فیشینگ هستند، و از افراد آسیب‌دیده‌ای که می‌خواهند به هر قیمت رمز ارزهای دزدیده شده خود را برگردانند، سوء‌استفاده می‌کنند.

کارآگاه ناشناس ملقب به ZachXBT اخیرا مدعی شده با کمک وی، یک نفر توانسته 1 میلیون دلار از رمز ارزهایش را برگرداند. با این حال وی هنوز تکنیکش برای این کار را فاش نکرده است. ZachXBT ادعا کرد در زمان مناسب، روشش برای برگرداندن دارایی‌های به سرقت رفته را خواهد گفت.

در صورت عدم ترید مستمر، برنامه را پاک کنید

یکی از دلایلی که سبب پایین بودن امنیت کمتر والت های گرم نظیر اتمیک در مقایسه با والت‌های سرد می‌شود، اتصال همیشگی آن‌ها به اینترنت است، به همین دلیل در معرض خطر هک شدن قرار دارند. البته ممکن است حتی با وجود رعایت نکات مربوط به این جنبه از امنیت کیف پول‌های گرم همچنان حسابتان مورد دستبرد قرار بگیرد، اما توجه به یک سری موارد امنیتی؛ احتمال هک کیف پول اتمیک والت و نرم افزارهای مشابه را به شدت کم می‌کند.

بهتر است اگر هولدر بلندمدت هستید، و به طور مستمر با ارزهای دیجیتال ذخیره در Atomic Wallet خرید و فروش نمی‌کنید، بعد از نصب اپلیکیشن آن را حذف کنید. قبل این کار آدرس کیف پول برای شبکه‌های مهم نظیر ترون و اتریوم را یکجا کپی کنید تا موقع خرید قادر به استفاده از آن باشید. حذف برنامه هیچ مشکلی در روند دریافت و ذخیره‌سازی رمز ارزها ایجاد نمی‌کند، و هر زمان که برنامه را دوباره نصب کنید، قادر به مشاهده موجودی‌تان و در ادامه فروش دارایی‌های خود خواهید بود.

فراموش نکنید قبل این کار، باید حتما عبارت بازیابی 12 کلمه‌ای کیف پول که در ابتدای نصب دریافت کرده‌اید را در مکانی امن و مطمئن (ترجیحا فیزیکی و نه دیجیتال مثل یک تکه کاغذ) ذخیره کرده باشید، وگرنه بعد پاک کردن اپلیکیشن دوباره نمی‌توانید به ارزهای دیجیتال خود دسترسی پیدا کنید؛ نباید در تلاش برای جلوگیری از هک شدن کیف پول اتمیک والت ارزهایتان را برای همیشه گم کنید.

تهیه شده در بیت 24