در تاریخ ۱۲ سپتامبر، چند حساب توییتری خبر هک شدن صرافی کوینکس را منتشر کردند. چند ساعت بعد حساب رسمی صرافی کوینکس در توییتر خبر هک شدن و تخلیه کیف برخی کاربران در چند شبکه بلاکچینی را منتشر کرد. تیم کوینکس در روزهای پس از حادثه بهطور پیوسته گزارش آخرین وضعیت کیف پولهای پرریسک را منتشر کرد و در ایزوله کردن کیف پولها (توقف واریز و برداشت)، اطلاعرسانی به کاربران و همکاری با تیمهای متخصص آنالیز بلاکچین عملکرد قابل قبولی را از خود نشان داد.
کوینکس در سایت رسمی خود از همان ساعات اولیه لیست آدرسهای مشکوک را منتشر کرد، این لیست در ابتدا شامل ۹ آدرس در ۴ شبکه بود و تا لحظه نگارش این گزارش تعداد آدرسهای این لیست به ۴۷ آدرس در بیش از ۲۵ بلاکچین رسیده است. در منابع خبری مختلف مجموع مبالغ سرقت شده از صرافی کوینکس از ۲۷ تا ۵۴ میلیون دلار متغیر است، اما با توجه به بررسیهای پنتا عدد دوم یعنی ۵۴ میلیون دلار دقیقتر بهنظر میرسد.
صرافی کوینکس در سایت خود، مقادیر کوینهای سرقت شده را در قالب جدول زیر افشا کرده است.
با توجه به اینکه بیشتر کاربران این صرافی، ایرانی هستند، تیم پنتا از همان ابتدای انتشار خبر، تحلیل آدرسهای معرفی شده در بلاکچینهای مختلف را در دستور کار خود قرار داد. در ادامه بخشی از نتایج تحلیل تیم پنتا را مشاهده خواهید کرد.
بلاکچین بیتکوین
کوینکس در بلاکچین بیتکوین فقط یک آدرس را بهعنوان آدرس مشکوک معرفی کرد. به مقصد این آدرس، ۲۳۱ بیتکوین از کوینکس واریز شده است. با توجه به اینکه موجودی این آدرس همان ۲۳۱ بیتکوین است، نتیجه میگیریم که هکر هنوز بیتکوین هایی را که از کوینکس به سرقت برده، خرج نکرده و منتظر فرصت مناسبی است تا بیتکوینها را به مقاصد امن دیگر جابهجا کند. البته با توجه به اینکه این آدرس بهطور مستمر توسط تیمهای آنالیز بلاکچین تحت نظر قرار دارد، بعید است که اهداف هکر بدون چالش و بیدردسر محقق شود.
بلاکچین اتریوم
صرافی کوینکس ۹ آدرس را به عنوان آدرسهای مشکوک به ارتباط با هک، در بلاکچین اتریوم معرفی کرده است. با توجه به تنوع و تعدد توکنهای روی شبکه اتریوم، تحلیل آدرسهای این شبکه کار پیچیدهای است. با اینحال تیم پنتا ۹ آدرس اعلامی از سمت کوینکس و ۶ آدرس مشکوک دیگر را تحت نظر قرار داده است. این ۱۵ آدرس در مجموع بیش از ۱۲ هزار اتر دریافت کرده اند که حدود ۵۰ درصد آن از مبدا کوینکس بوده است. نکته قابل توجه این است که هکرها در این بلاکچین هم مانند بیتکوین، اکثر اترهای سرقتی را نگه داشتهاند و فقط حدود ۶۵۰ اتر را جابهجا کردهاند. مقصد این اترها عمدتا صرافیهای غیرمتمرکزی از قبیل یونی سواپ (با یک یا چند آدرس واسطه) بوده است. البته ناگفته نماند که توکنهای ERC20 هم در این هک به سرقت رفتهاند که مقصد اکثر آنها هم صرافیهای غیرمتمرکز بوده است.
بلاکچین لایتکوین
صرافی کوینکس تنها یک آدرس را بهعنوان آدرس مشکوک مربوط به هک در بلاکچین لایتکوین معرفی کرده است. این آدرس ۵۴۳۵ لایتکوین از صرافی کوینکس به سرقت برده است. هکرها در این شبکه هم مانند دو شبکه قبلی لایتکوینهای سرقتی را در آدرس خود نگه داشته بودند اما دو روز پس از حادثه هک، مبالغ سرقت شده را جابهجا کردند. مقصد تمام لایتکوینهای سرقت شده با یک یا چند واسطه به صرافیهای بزرگی از قبیل بایننس، کوینبیس و کوکوین میرسد و از آنجایی که احراز هویت در هر ۳ صرافی مذکور الزامی است، به سادگی میتوان لایتکوینهای سرقتی را بازگرداند. ناگفته نماند که صرافی کوینکس از ابتدای ماجرای هک در همه بیانیههای خود از صرافیهای دیگر کمک خواسته بود و گروههای مختلف آنالیز بلاکچین را بهمنظور شناسایی هکرها به همکاری فراخوانده بود، اما نکته مشکوک ماجرا آنجاییست که صرافی کوینکس با انتشار آدرسهای مشکوک در واقع ریسک نقد کردن کوینهای سرقتی در صرافیهای رسمی را بالا برده بود و در یک سناریوی بدبینانه سارقان را به نگهداری کوینهای سرقتی در کیف پولهای ناشناس تشویق کرده بود.
بلاکچین بیتکوینکش
در این شبکه هم فقط یک آدرس از طرف صرافی کوینکس بهعنوان آدرس مشکوک معرفی شده است. طبق نتایج تحلیلهای پنتا، این آدرس در مجموع حدود ۲۳۰۰ بیتکوینکش از صرافی کوینکس به سرقت برده است که همه آنها را جابهجا کرده است البته در زمان نگارش این گزارش ۱۸۲۰ بیتکوینکش در کیفهای مرتبط با کیف اصلی موجود است و هنوز همه کوینها به صرافی مقصد منتقل نشدهاند. در این شبکه کوینهای سرقتی از چند مسیر و با دو یا سه واسطه به صرافی بایننس منتقل شدهاند. زمان تراکنشها (۲ تا ۳ روز بعد از حادثه هک شدن کوینکس) نشان میدهد سارقان حوصله کافی برای نگهداری و نقد کردن کوینها در فرصت مناسب را نداشته اند.
با توجه به اینکه مقصد کوینهای سرقتی در این بلاکچین صرافی بایننس است و فرآیند احراز هویت در این صرافی الزامیست، بازگرداندن این مبالغ بهسادگی و از طریق بستن حسابهای مشکوک در صرافی بایننس اتفاق خواهد افتاد.
بلاکچین ترون
تحلیل آدرسها و تراکنشهای بلاکچین ترون هم مانند سایر بلاکچینهای اکانتبیس از قبیل اتریوم و بایننس اسمارت چین، بهعلت تعدد توکنها، کار پیچیده و دشواری است. تیم پنتا با تحلیل دو آدرسی که صرافی کوینکس آنها را بهعنوان آدرسهای مشکوک مرتبط با هک در شبکه ترون معرفی کرده است به نتایج قابل توجهی رسیده است. آدرسهای مشکوک مجموعا حدود ۸ میلیون دلار تتر روی شبکه ترون از صرافی کوینکس سرقت کردهاند و همه مبلغ دریافتی را جابهجا کردهاند. نکته قابل توجه زمان تراکنشهاست و بهنظر میرسد هکرها با دستپاچگی خاصی تترهای ترونی را جابهجا کردهاند. این مبالغ در چندین کیف پول و با تراکنشهای ۴۵۰ و ۵۰۰ هزار دلاری تقسیم شدهاند و با چند واسطه به کیفهای ناشناس مقصد منتقل شدهاند. طبق بررسیهای پنتا حدود ۵ درصد از تترهای ترونی سرقتی به مقصد صرافی بایننس منتقل شدهاند و باقی مقادیر همچنان در کیفهای ناشناس نگهداری میشوند.
بلاکچین بایننس اسمارت چین
تحلیل شبکه BSC هم به دلیل تنوع و تعداد توکنها بیچیده و زمانبر است. اما تیم پنتا با در نظر گرفتن ۴ آدرس مشکوک (۲ آدرس اعلامی توسط کوینکس و ۲ آدرس مرتبط با آنها) مبالغ سرقتی در این شبکه را حدود ۳۲ هزار BNB برآورد میکند که با مقدار اعلامی توسط کوینکس (۲۹ هزار BNB) فاصله کمی دارد. از این مقدار تنها حدود دوهزار BNB جابهجا شده است و باقی مقادیر در همان ۴ آدرس نگهداری میشود.
اما بررسی توکنهای سرقتی در شبکه BSC نکته قابل توجهی داشت و آن هم فعال شدن BRG Army در این ماجراست. همانطور که در تصویر زیر ملاحظه میکنید حدود ۷۰ میلیون توکن BRG با یک یا دو واسطه به مقاصدی منتقل شدهاند، با تحلیل تراکنشهای آدرسهای مقصد، بهنظر میرسد آدرسهای مقصد متعلق به لیدرهای کامیونیتی BRG باشند.
پروژه BRG متعلق به مالک یکی از صرافیهای ورشکسته و پرحاشیه رمزارز در کشورمان است و اینکه اعضای تیم این پروژه در صرافی کوینکس فعال باشند دور از انتظار نیست، اما سوال جدی اینجاست که ارتباط هک کوینکس با این پروژه چیست؟
بلاکچین اتریوم کلاسیک
صرافی کوینکس دو آدرس ETC را بهعنوان آدرسهای مشکوک معرفی کرده است. این آدرسها در ۱۶ تراکنش مجموعا ۷۴۳۴ اتریوم کلاسیک از صرافی کوینکس به سرقت بردهاند. دو روز پس از هک صرافی کوینکس و در تاریخ ۱۴ سپتامبر، همه ۷۴۳۴ اتریوم کلاسیک سرقتی با دو یا سه واسطه به صرافی بایننس منتقل شده است. همانند موارد قبلی از آنجایی که احراز هویت کاربران در صرافی بایننس الزامیست، رسیدن به سارقین یا سرنخی از آنها با استفاده از اطلاعات احراز هویت صرافی بایننس کار پیچیدهای نخواهد بود.
آیا باز هم پای لازاروس در میان است؟
یک روز پس از ماجرای هک صرافی کوینکس یک حساب توییتری خبر از ارتباط هکرها با گروه معروف لازاروس داد. لازاروس یک گروه هکری در کره شمالی است که از سال ۲۰۱۷ در بسیاری از هکهای دنیای رمزارزها نقش داشته است. این گروه دو هفته قبل مبلغی در حدود ۴۱ میلیون دلار از پلتفرم Stake، سرقت کرده بود.
تیم پنتا با بررسی ادعای این حساب توییتری به آدرسی در شبکه متیک رسید که بین دو ماجرای سرقت از کوینکس و سرقت از استیک مشترک است.
اما باتوجه به اینکه در بلاکچینهای دیگر و سایر آدرسها و تراکنشها شواهد کافی وجود ندارد نمیتوان با قطعیت گروه لازاروس را عامل سرقت حدود ۹۰ میلیون دلاری (حدود ۴۰ میلیون دلار از Stake و حدود ۵۰ میلیون دلار از Coinex) از این دو پلتفرم در یک ماه اخیر دانست.
پیشنهادات
- باتوجه به اینکه معمولا اینگونه حوادث در چند موج انجام میشود، پنتا به همه کاربران کوینکس توصیه میکند بهمحض اینکه امکان برداشت از کوینکس فراهم شد، همه دارایی خود را تا مدتی به کیف پول شخصی خود منتقل کنند. بهطور کلی باید گفت، صرافی محل نگهداری دارایی کاربران نیست.
- در شرایط مشابه هک کوینکس، با استفاده از صرافیهای معتبر داخلی با وجود تمام خلاءهای قانونی، امکان پیگیری دقیقتر را برای کاربر ایرانی فراهم خواهد بود.
- کسبوکارهای رمزارزی باید استانداردهای امنیتی را در بالاترین سطح رعایت کنند و همچنین باید در شرایط مشابه هک کوینکس علاوه بر پیگیری وجوه سرقتی با کمک تیمهای آنالیز بلاکچین، خسارتهای وارده به کاربران را جبران کنند.