متاسفانه تعداد زیادی از کاربران کیف پول اتمیک والت، همزمان محو شدن رمز ارزهای خود را گزارش کردهاند. ابعاد وسیع حادثه نشاندهنده یک هک گسترده بوده که ابتدا بر اساس گزارشها، به سرقت چند ده میلیون دلار منجر شده بود. تیمهای امنیتی از اولین روز ماجرا یعنی 2 ژوئن 2023 (12 خرداد 1402) در حال بررسی علت هک کیف پول اتمیک والت هستند. در شبکههای اجتماعی گزارشهایی درباره گم شدن توکنها، پاک شدن تاریخچه تراکنشها و حتی از بین رفتن کل پرتفوی سرمایه گذاری کاربران شنیده میشود. در شهریور 1402، جزئیات بیشتر هک Atomic Wallet روشن شد و کاربران روسی از این کیف پول شکایت کردهاند. متاسفانه میزان دارایی دزدیده شده طی این حادثه مرز 100 میلیون دلار را رد کرد.
جزئیات هک گسترده کیف پول اتمیک والت؛ خرداد 1402
بر اساس بررسیهای یک کارآگاه تجزیه و تحلیل آن چین با نام مستعار ZachXBT، در جریان هک شدن کیف پول اتمیک والت در روز 12 خرداد، حداقل 35 میلیون دلار (1,750 میلیارد تومان) رمز ارز دزدیده شده است (این رقم در نهایت به 100 میلیون دلار رسید). ارزش داراییهای پنج حساب بزرگی که قربانی هک اتمیک والت بودهاند، در مجموع 17 میلیون دلار (850 میلیارد تومان) بوده است. بین آنها، بیشترین پول متعلق به فردی است که 7.95 میلیون دلار (397 میلیارد تومان) تتر روی شبکه ترون در کیف پول خود نگهداری میکرد. بر اساس توئیتی که شرکتسازنده Atomic Wallet در صفحه رسمی خود داخل توئیتر منتشر کرده، علت اصلی وقوع حادثه در دست بررسی است.
یک کارآگاه کریپتو با نام مستعار ZachXBT که از ابتدای وقوع اتفاق هک شدن کیف پول اتمیک والت فعالیت زیادی برای پیگیری جزئیات ماجرا داشته است، ضمن اشاره به سرقت بیش از 35 میلیون دلار در حادثه هک اتمیک والت، ادعا کرد این عدد به احتمال زیاد 50 میلیون دلار را نیز رد خواهد کرد(با اعلام 100 میلیون دلاری بودن مجموع رمز ارزهای مسروقه در شهریور ماه این ادعا ثابت شد). او مدعی شد با گذشت زمان، قربانیان تازهای دزدیده شدن ارزهای دیجیتالشان را اعلام خواهند کرد. ممکن است آنها هنوز متوجه سرقت داراییهای خود نشده باشند، یا طی روزهای آتی مورد حمله قرار بگیرند. او خرداد ماه با انتشار تصویر زیر گفت بر اساس گراف من، ارزش ارزهای دیجیتال هک شده از کیف پولهای اتمیک والت از مرز 35 میلیون دلار فراتر رفته است.
سازنده Atomic Wallet معتقد است فقط 1 درصد کاربران تحت تاثیر قرار گرفتهاند، اما نکتهای وجود دارد؛ بررسیها نشان میدهند کیف پولهای حاوی مقادیر زیاد رمز ارز سرقت شدهاند. یعنی 1 درصد کاربرانی که تیم فنی اتمیک والت مدعی هک اتمیک ولت آنها است، جزو دانه درشتها بودهاند! گفتنی است اتمیک والت مدعی داشتن بیش از 5 میلیون کاربر در سراسر دنیا است.
سرقت پولی که قرار بود صرف تامین امنیت کاربران شود
وبسایت کوین تلگراف با یکی از قربانیان هک اتمیک والت مصاحبه کرد که از چند سال قبل، کاربر این کیف پول بوده است. وی احساسش را بسیار بد و وحشتناک توصیف کرد، چرا که خود یک کارشناس امنیت سایبری است. او نزدیک به 1 میلیون دلار به خاطر کمک به برنامههای پیدا کردن باگ در نرم افزارهای مختلف به دست آورده بود، اما حالا سرمایهاش را از دست داده است. رمز ارزهای وی شامل بیت کوین، دوج کوین، لایت کوین، اتریوم، تتر، یو اس دی کوین، بایننس کوین و متیک بودهاند.
به گفته وی، تیم Atomic Wallet ادعا میکند در حال بررسی موضوع است، اما هنوز چیز مشخصی برای ارائه ندارد، گویا خود از علت حادثه کاملا بیخبر است. این فرد ساکن ترکیه میخواست از پول دزدیده شده برای تاسیس یک شرکت امنیت سایبری بزرگ در کشورش استفاده کند، اما دیگر قادر به این کار نیست.
اتمیک والت غیرحضانتی است، اما همچنان هک شد
اتمیک والت یک کیف پول غیر حضانتی شناخته میشود، به این معنی که مستقیما دخالتی در ذخیرهسازی کلیدهای خصوصی نداشته و آنها را به سرورهای خود نمیفرستد، و داخل دستگاهی که اپلیکیشن روی آن نصب شده نگه میدارد. با توجه به نوع کارکرد آن، در صفحه شرایط استفاده از خدمات Atomic Wallet ذکر شده که هیچگونه مسئولیتی در قبال خسارتهای آن چین وارد شده به کاربران نمیپذیرد، چون آنها روی ارزهای دیجیتال خود کنترل کامل دارند. البته، در ارتباط با یک والت غیر حضانتی این ادعا صحیح است، اما وقتی برنامه اتمیک والت نفرات زیادی همزمان هک میشود، دیگر نمیتوان تقصیر را گردن تکتک آنها انداخت، و به احتمال زیاد پای مشکلی فنی در میان است. در بخشی از متن شرایط استفاده از خدمات این کیف پول گفته شده:
سازنده اتمیک والت تحت هیچ شرایطی در برابر خسارتهای بیش از 50 دلار مسئولیتی ندارد.
متاسفانه توسعهدهنده تا کنون اطلاعات محدودی در اختیار یوزرهایش قرار داده است. آنها روز 4 ژوئن 2023 (14 خرداد 1402)، در دومین پست توئیتری خود بعد وقوع هک اتمیک والت اعلام کردند:
تیم پشتیبانی در حال جمعآوری آدرس قربانیان است. ما برای ردیابی و مسدود کردن وجوه دزدیده شده، با صرافیهای بزرگ و شرکتهای تجزیه و تحلیل بلاک چین در ارتباط هستیم.
از افرادی که برای پیگیری ماجرا به پشتیبانی Atomic Wallet پیام دادهاند، بیست سوال پرسیده شده که شامل نام ارائهدهنده اینترنت آنها، استفاده یا عدماستفاده از VPN و نحوه ذخیرهسازی عبارت بازیابی بوده است.
در کانالهای عمومی تلگرام، عدهای معتقد هستند که یک پکیج دیپندنسی منسوخ شده، میتواند علت هک اتمیک ولت بوده باشد. پکیجهای دیپندنسی ارتباط بین فعالیتهای مورد نیاز داخل یک برنامه نظیر ترتیب انجام آنها و کتابخانههای ضروری برای هر یک را شرح میدهند.
چنین حادثهای، امنیت کیف پولهای غیر امانی را کاملا زیر سوال میبرد. همیشه تاکید بر این بوده که برای نگهداری رمز ارزها، از ابزارهایی که کلیدهای خصوصی را در اختیار خودتان قرار میدهند استفاده کنید، اما به نظر آنها هم چندان امنیت ندارند و ممکن است در یک چشم بر هم زدن داراییهایتان را از دست بدهید.
لازاروس گروپ؛ متهم ردیف اول هک Atomic Wallet
رمز ارزهای بهدست آمده طی یکی از بزرگترین هک های ارز دیجیتال، به یک میکسر ارز دیجیتال مورد علاقه بدنامترین گروه هکری کره شمالی منتقل شدهاند. در روز 5 ژوئن (15 خرداد)، شرکت تجزیه و تحلیل بلاک چین Elliptic گزارش کرد که مبالغ دزدیدهشده در جریان سرقت از Atomic Wallet به sinbad.io انتقال یافتهاند. به گفته این شرکت، لازاروس گروپ قبلا از میکسر نام برده برای شستن (پولشویی) بیش از 100 میلیون دلار استفاده کرده است. Elliptic به مقدار دارایی ارسال شده به sinbad.io اشارهای نکرد، اما مدعی شد که قبل فرستادن به آن، ارزهای دزدیده شده در ماجرای هک اتمیک والت تبدیل به بیت کوین شده بودند.
این کمپانی فعال در زمینه تجزیه و تحلیل بلاک چین همچنین عقیده دارد sinbad.io همان نسخه تغییر نام یافته blender.io است، ابزاری که لازاروس گروپ قبلا برای پولشوییهای عظیم استفاده میکرد. این اولین میکسری بود که توسط وزارت خزانهداری آمریکا تحریم شد.
شکایت از اتمیک والت و روشن شدن جزئیات بیشتر؛ شهریور 1402
در شهریور 1402 و با گذشت حدود 3 ماه از زمان وقوع حادثه، ارزش کل رمز ارزهای سرقتشده از هک Atomic Wallet به 100 میلیون دلار رسیده است. 5,500 نفر نیز خود را قربانی این حمله گزارش کردهاند.
در 26 اوت 2023 (4 شهریور 1402)، جمعی متشکل از 50 کاربر روس که قربانی هک 100 میلیون دلاری اتمیک والت شده بودند، شکایتی را علیه این کیف پول ثبت کردند. علاوه بر این، با اینکه در ابتدا برخی گروه کره شمالی لازاروس را مسئول این هک میدانستند، اما به گفته بوریس فلدمن (Boris Feldman) که مسئول هماهنگی قربانیان است، احتمالا گروهی اوکراینی در این حمله دست داشته است.
احتمال دست داشتن هکرهای اوکراینی و تلاش برای بازیابی ارزهای سرقتی
به استناد گزارشات اخیر، کاربران قربانی هک این ولت رمز ارزی در حال همکاری با یک وکیل آلمانی بهنام مگ گوتبرود (Max Gutbrod) و همبنیانگذار شرکت حقوقی روسی دسترا لیگال (Destra Legal) بهنام بوریس فلدمن هستند. به گفته آقای گوتبرود، او و آقای فلدمن عهدهدار وکالت حدود 50 نفر شدهاند که هر کدام چیزی بین 150 هزار تا 2 میلیون دلار از داراییهای خود را از دست دادهاند. ارزش داراییهای از دست رفته این 50 نفر تقریبا 12 میلیون دلار است. به گفته آقای گوتبورد:
ما در تلاش برای بازیابی داراییهای موکلهای خود هستیم و یک شکایت حقوقی علیه اتمیک والت ثبت خواهیم کرد. آنها هیچ اطلاعاتی درباره هک به موکلهای ما نداده یا برای گزارش دادن به پلیس مراجعه نکردهاند.
علاوه بر این، شرکت دسترا لیگال با متخصصان تحلیل بلاک چین شرکت Match Systems در جهت انجام تحقیقات مجزا از طرف این قربانیان همکاری کرده است.
در ابتدا، تصور میشد گروه کره شمالی لازاروس در هک 100 میلیون دلاری اتمیک والت دست داشته است. اما امروز در شهریور 1402 و پس از تحقیقات 3 ماهه، به گفته آقای فلدمن، احتمالا هکرهای اوکراینی پشت ماجرا بودهاند. شایان ذکر است که استفاده از رمز ارزها پس از درگیری نظامی روسیه و اوکراین از فوریه 2022 تا کنون افزایش چشمگیری داشته است. به گفته آقای فلدمن:
از زمان آغاز جنگ شاهد افزایش قابل توجه استفاده از کرپیتو هستیم. بسیاری از مردم این کشور را ترک کرده و از رمز ارزها برای انتقال پول یا ذخیره سرمایه استفاده میکنند.
جزئیات دیگر پیرامون حمله به اتمیک والت
اتمیک والت در ابتدای این حمله خیلی شفاف عمل نکرد و تازه دو هفته پس از این اتفاق بیانیهای ارائه داد. تیم این کیف پول گفته است که کمتر از 1 درصد مشتریان تحت تاثیر این هک قرار گرفتهاند، اما بسیاری این ادعا را قبول ندارند. یکی از کاربران در توییتر گفته بود بیش از 1 واحد بیت کوین از دست داده و از این پلتفرم خواسته بود داراییهای سرقتشده وی را بازگردانند.
از دیگر جزئیات این حمله اینکه هکرها ابتدا از صرافی 1inch برای تبدیل ارزهای سرقتی به تتر استفاده کرده و سپس با ارسال آنها به صرافی رمز ارزی روسی Garantex، به پولشویی پرداختهاند. این صرافی در لیست تحریمهای دفتر کنترل سرمایه خارجی (OFAC) وزارت خزانهداری آمریکا قرار دارد.
علاوه بر این، به گفته برخی از منابع، هکرها حتی میلیونها دلار توکن XRP سرقتی را به صرافیهای متمرکز نظیر بایننس، هیوبی، کوکوین و دیگر موارد ارسال کردهاند.
کیف پول اتمیک والت چطور هک شد!؟
هیچ گروه هکری یا فرد خاصی مسئولیت این حمله سایبری بزرگ را بر عهده نگرفته و هنوز نحوه دقیق هک شدن کیف پول تعداد زیادی کاربر مشخص نیست، اما چند سناریو مطرح شده است. کاربری با نام کاربری 23pds در توئیتر، محتملترین سناریو درباره هک بزرگ کیف پول اتمیک والت را با دنبالکنندگانش مطرح کرد.
بررسی ابعاد حادثه بعد از مطرح شدن یک موضوع عجیب توسط کاربری دیگر به نام EMRE آغاز شد؛ او متوجه شد کیف پول Atomic Wallet وی تعداد زیادی درخواست http برای گرفتن لاگ (log) ارسال کرده است. دادههای ارسالی از طریق درخواست وی، با یک متغیر به نام “userId” در سرور ثبت شده است. داخل تصویر زیر میتوان این اتفاق را مشاهده کرد. بر اساس تصویر زیر، ارتباط والت این کاربر با سرور اتمیک والت با شناسه کاربری “userId” داخل سرور ذخیره شده است.
او سپس تصمیم گرفت عبارت بازیابی کیف پول خود را دو مرتبه داخل الگوریتم هشینگ SHA-256 قرار بدهد. نتیجه، بسیار جالب است؛ همانطور که میبینید، رشته کاراکتر حاصل همان چیزی است که در فیلد “userId” نوشته شده بود.
این یعنی هر مرتبه کاربر از کیف پول خود استفاده میکند، سوابق درخواستش همراه با رشته کاراکتر حاصل از دو مرتبه هش شدن عبارت بازیابی همان کیف پول، داخل پایگاه داده سازنده ذخیره میشود. اگر کمی درباره نحوه کار الگوریتم هشینگ بدانید، متوجه میشوید تا اینجا اتفاق خاصی نیفتاده است؛ الگوریتم SHA-256 یک طرفه بوده و نمیتوان با داشتن خروجی، ورودی را پیدا کرد. پس هک اتمیک والت چطور اتفاق افتاده و هکر چطور موفق به دزدیدن بیش از 100 میلیون دلار رمز ارز شده است؟
در یک نوع حمله جستجوی فراگیر، هکر تعداد زیادی خروجی رمزنگاری شده در اختیار دارد و ورودی متناظر با هر کدام را نیز میداند. به عبارتی وی دادهای را در یک الگوریتم قرار داده (ورودی) و خروجی را به دست آورده است. در ادامه، وقتی به اطلاعات خروجی هدف دست یافت (مشابه userId که حاصل دو مرتبه هش شدن بود) آن را با بانک داده در اختیارش مقایسه میکند و موارد مشابه را کنار یکدیگر میگذارد. اگر یک داده نهایی مربوط به هدف با یک خروجی حاصل از یک ورودی متعلق به وی برابر باشد، کار تمام است.
اما همچنان هک اتمیک والت به این راحتی نیست، چرا که سید فریز این کیف پول دوازده کلمهای بوده و درست کردن یک دیتابیس متشکل از تمام حالتهای ممکن، تقریبا غیر ممکن است. در این رابطه، کاربر 23pds توضیح میدهد که مهاجم قدرت پردازشی زیادی در اختیار داشته و طی چند سال، یک دیتابیس عظیم متشکل از حالتهای مختلف عبارتهای بازیابی کیف پول (که دو مرتبه با استفاده از SHA-256 هش شدهاند) برای خود درست کرده است. چنین چیزی از گروه هکری لازاروس، متهم ردیف اول حادثه هک اتمیک والت، بعید نیست البته همانطور که گفتیم، این کار بسیار دشوار است، به همین دلیل با وجود صرف چند سال برای تهیه کردن یک پایگاه داده، مهاجم فقط موفق به هک کردن یک درصد کاربران اتمیک والت شده است؛ پایگاه داده آنها محدود بوده است.
بررسیها نشان میدهد بیشتر کاربران اتمیک والت که هک شدهاند، طی روزهای منتهی به حادثه از آن استفاده کرده بودند. این موضوع، احتمال حقیقت داشتن سناریوی بالا را بیشتر میکند.
توصیههایی برای کاربران کیف پول Atomic Wallet
سه نکته مهم برای کاربران اتمیک والت داریم. البته این موارد درباره استفادهکنندگان از تمام والتهای غیر حضانتی صدق میکنند، پس حتما به آنها توجه کنید.
صفر شدن ارزها لزوما به معنی هک شدن کیف پول اتمیک نیست!
اتفاقاتی نظیر اختلال در دریافت اطلاعات از بلاک چین یا بروز مشکل در ارتباط با اینترنت ممکن است منجر به صفر شدن موجودی شما شوند، در حالی که ایراد فقط در نمایش ارزها است، و آنها همچنان امن و امان سر جای خود هستند! برای اطمینان میبایست آدرس خود را در بلاک چین اکسپلورر شبکه مورد نظر وارد کرده و آخرین تراکنشها را چک کنید.
ناپدید شدن ارزهای دیجیتال بسیار تلخ است، اما ممکن است دلایل دیگری به جز هک شدن کیف پول اتمیک والت وجود داشته باشند، پس در مرحله اول خونسردی خود را حفظ کرده و با مراجعه به مقاله «علت صفر شدن موجودی در کیف پول اتمیک والت» مراحل گفته شده را دنبال کنید. اگر در نهایت مطمئن شدید که جزو قربانیان هک اتمیک والت بودهاید، با پشتیبانی این کیف پول تماس برقرار کنید.
بعد از هک اتمیک والت از چاله به چاه سقوط نکنید
کاربر ناشناس با نام ZachXBT، از افراد قربانی در هک اتمیک والت خواست در ارائه اطلاعات به صفحههایی که خود را پشتیبانی این کیف پول معرفی کرده یا به هر روش دیگر در تلاش برای (مثلا) بازیابی ارزهای دیجیتال آنها هستند، احتیاط کنند؛ اکانتهای متعددی طی چند روز گذشته مدعی کمک به بازگرداندن رمز ارزهای کاربران شدهاند، اما در عمل آنها فقط به دنبال اجرای کلاهبرداری فیشینگ هستند، و از افراد آسیبدیدهای که میخواهند به هر قیمت رمز ارزهای دزدیده شده خود را برگردانند، سوءاستفاده میکنند.
کارآگاه ناشناس ملقب به ZachXBT اخیرا مدعی شده با کمک وی، یک نفر توانسته 1 میلیون دلار از رمز ارزهایش را برگرداند. با این حال وی هنوز تکنیکش برای این کار را فاش نکرده است. ZachXBT ادعا کرد در زمان مناسب، روشش برای برگرداندن داراییهای به سرقت رفته را خواهد گفت.
در صورت عدم ترید مستمر، برنامه را پاک کنید
یکی از دلایلی که سبب پایین بودن امنیت کمتر والت های گرم نظیر اتمیک در مقایسه با والتهای سرد میشود، اتصال همیشگی آنها به اینترنت است، به همین دلیل در معرض خطر هک شدن قرار دارند. البته ممکن است حتی با وجود رعایت نکات مربوط به این جنبه از امنیت کیف پولهای گرم همچنان حسابتان مورد دستبرد قرار بگیرد، اما توجه به یک سری موارد امنیتی؛ احتمال هک کیف پول اتمیک والت و نرم افزارهای مشابه را به شدت کم میکند.
بهتر است اگر هولدر بلندمدت هستید، و به طور مستمر با ارزهای دیجیتال ذخیره در Atomic Wallet خرید و فروش نمیکنید، بعد از نصب اپلیکیشن آن را حذف کنید. قبل این کار آدرس کیف پول برای شبکههای مهم نظیر ترون و اتریوم را یکجا کپی کنید تا موقع خرید قادر به استفاده از آن باشید. حذف برنامه هیچ مشکلی در روند دریافت و ذخیرهسازی رمز ارزها ایجاد نمیکند، و هر زمان که برنامه را دوباره نصب کنید، قادر به مشاهده موجودیتان و در ادامه فروش داراییهای خود خواهید بود.
فراموش نکنید قبل این کار، باید حتما عبارت بازیابی 12 کلمهای کیف پول که در ابتدای نصب دریافت کردهاید را در مکانی امن و مطمئن (ترجیحا فیزیکی و نه دیجیتال مثل یک تکه کاغذ) ذخیره کرده باشید، وگرنه بعد پاک کردن اپلیکیشن دوباره نمیتوانید به ارزهای دیجیتال خود دسترسی پیدا کنید؛ نباید در تلاش برای جلوگیری از هک شدن کیف پول اتمیک والت ارزهایتان را برای همیشه گم کنید.
تهیه شده در بیت 24