ماجرای هک شدن صرافی کوینکس

در تاریخ ۱۲ سپتامبر، چند حساب توییتری خبر هک شدن صرافی کوینکس را منتشر کردند. چند ساعت بعد حساب رسمی صرافی کوینکس در توییتر خبر هک شدن و تخلیه کیف برخی کاربران در چند شبکه بلاکچینی را منتشر کرد. تیم کوینکس در روزهای پس از حادثه به‌طور پیوسته گزارش آخرین وضعیت کیف پول‌های پرریسک را منتشر کرد و در ایزوله کردن کیف پول‌ها (توقف واریز و برداشت)، اطلاع‌رسانی به کاربران و همکاری با تیم‌های متخصص آنالیز بلاکچین عملکرد قابل قبولی را از خود نشان داد.

کوینکس در سایت رسمی خود از همان ساعات اولیه لیست آدرس‌های مشکوک را منتشر کرد، این لیست در ابتدا شامل ۹ آدرس در ۴ شبکه بود و تا لحظه نگارش این گزارش تعداد آدرس‌های این لیست به ۴۷ آدرس در بیش از ۲۵ بلاکچین رسیده است. در منابع خبری مختلف مجموع مبالغ سرقت شده از صرافی کوینکس از ۲۷ تا ۵۴ میلیون دلار متغیر است، اما با توجه به بررسی‌های پنتا عدد دوم یعنی ۵۴ میلیون دلار دقیق‌تر به‌نظر می‌رسد.

صرافی کوینکس در سایت خود، مقادیر کوین‌های سرقت شده را در قالب جدول زیر افشا کرده است.

با توجه به اینکه بیشتر کاربران این صرافی، ایرانی هستند، تیم پنتا از همان ابتدای انتشار خبر، تحلیل آدرس‌های معرفی شده در بلاکچین‌های مختلف را در دستور کار خود قرار داد. در ادامه بخشی از نتایج تحلیل تیم پنتا را مشاهده خواهید کرد.

بلاکچین بیت‌کوین

کوینکس در بلاکچین بیت‌کوین فقط یک آدرس را به‌عنوان آدرس‌ مشکوک معرفی کرد. به مقصد این آدرس، ۲۳۱ بیت‌کوین از کوینکس واریز شده است. با توجه به اینکه موجودی این آدرس همان ۲۳۱ بیت‌کوین است، نتیجه می‌گیریم که هکر هنوز بیت‌کوین ‌هایی را که از کوینکس به سرقت برده،‌ خرج نکرده و منتظر فرصت مناسبی است تا بیت‌کوین‌ها را به مقاصد امن دیگر جابه‌جا کند. البته با توجه به اینکه این آدرس به‌طور مستمر توسط تیم‌های آنالیز بلاکچین تحت نظر قرار دارد، بعید است که اهداف هکر بدون چالش و بی‌دردسر محقق شود.

بلاکچین اتریوم

صرافی کوینکس ۹ آدرس را به عنوان آدرس‌های مشکوک به ارتباط با هک، در بلاکچین اتریوم معرفی کرده است. با توجه به تنوع و تعدد توکن‌های روی شبکه اتریوم، تحلیل آدرس‌های این شبکه کار پیچیده‌ای است. با اینحال تیم پنتا ۹ آدرس اعلامی از سمت کوینکس و ۶ آدرس مشکوک دیگر را تحت نظر قرار داده است. این ۱۵ آدرس در مجموع بیش از ۱۲ هزار اتر دریافت کرده اند که حدود ۵۰ درصد آن از مبدا کوینکس بوده است. نکته قابل توجه این است که هکرها در این بلاکچین هم مانند بیت‌کوین، اکثر اترهای سرقتی را نگه داشته‌اند و فقط حدود ۶۵۰ اتر را جابه‌جا کرده‌اند. مقصد این اترها عمدتا صرافی‌های غیرمتمرکزی از قبیل یونی سواپ (با یک یا چند آدرس واسطه) بوده است. البته ناگفته نماند که توکن‌های ERC20 هم در این هک به سرقت رفته‌اند که مقصد اکثر آن‌ها هم صرافی‌های غیرمتمرکز بوده است.

بلاکچین لایت‌کوین

صرافی کوینکس تنها یک آدرس را به‌عنوان آدرس‌ مشکوک مربوط به هک در بلاکچین لایت‌کوین معرفی کرده است. این آدرس ۵۴۳۵ لایت‌کوین از صرافی کوینکس به سرقت برده است. هکرها در این شبکه هم مانند دو شبکه قبلی لایت‌کوین‌های سرقتی را در آدرس خود نگه داشته بودند اما دو روز پس از حادثه هک، مبالغ سرقت شده را جابه‌جا کردند. مقصد تمام لایت‌کوین‌های سرقت شده با یک یا چند واسطه به صرافی‌های بزرگی از قبیل بایننس، کوین‌بیس و کوکوین می‌رسد و از آنجایی که احراز هویت در هر ۳ صرافی مذکور الزامی است، به سادگی می‌توان لایت‌کوین‌های سرقتی را بازگرداند. ناگفته نماند که صرافی کوینکس از ابتدای ماجرای هک در همه بیانیه‌های خود از صرافی‌های دیگر کمک خواسته بود و گروه‌های مختلف آنالیز بلاکچین را به‌منظور شناسایی هکرها به همکاری فراخوانده بود، اما نکته مشکوک ماجرا آنجاییست که صرافی کوینکس با انتشار آدرس‌های مشکوک در واقع ریسک نقد کردن کوین‌های سرقتی در صرافی‌های رسمی را بالا برده بود و در یک سناریوی بدبینانه سارقان را به نگهداری کوین‌های سرقتی در کیف پول‌های ناشناس تشویق کرده بود.

بلاکچین بیت‌کوین‌کش

در این شبکه هم فقط یک آدرس از طرف صرافی کوینکس به‌عنوان آدرس‌ مشکوک معرفی شده است. طبق نتایج تحلیل‌های پنتا، این آدرس در مجموع حدود ۲۳۰۰ بیت‌کوین‌کش از صرافی کوینکس به سرقت برده است که همه آن‌ها را جابه‌جا کرده است البته در زمان نگارش این گزارش ۱۸۲۰ بیت‌کوین‌کش در کیف‌های مرتبط با کیف اصلی موجود است و هنوز همه کوین‌ها به صرافی مقصد منتقل نشده‌اند. در این شبکه کوین‌های سرقتی از چند مسیر و با دو یا سه واسطه به صرافی بایننس منتقل شده‌اند. زمان تراکنش‌ها (۲ تا ۳ روز بعد از حادثه هک شدن کوینکس) نشان می‌دهد سارقان حوصله کافی برای نگه‌داری و نقد کردن کوین‌ها در فرصت مناسب را نداشته اند.

با توجه به اینکه مقصد کوین‌های سرقتی در این بلاکچین صرافی بایننس است و فرآیند احراز هویت در این صرافی الزامیست، بازگرداندن این مبالغ به‌سادگی و از طریق بستن حساب‌های مشکوک در صرافی بایننس اتفاق خواهد افتاد.

بلاکچین ترون

تحلیل آدرس‌ها و تراکنش‌های بلاکچین ترون هم مانند سایر بلاکچین‌های اکانت‌بیس از قبیل اتریوم و بایننس اسمارت چین، به‌علت تعدد توکن‌ها، کار پیچیده و دشواری است. تیم پنتا با تحلیل  دو آدرسی  که صرافی کوینکس آن‌ها‌ را به‌عنوان آدرس‌های مشکوک مرتبط با هک در شبکه ترون معرفی کرده است به نتایج قابل توجهی رسیده است. آدرس‌های مشکوک مجموعا حدود ۸ میلیون دلار تتر روی شبکه ترون از صرافی کوینکس سرقت کرده‌اند و همه مبلغ دریافتی را جابه‌جا کرده‌اند. نکته قابل توجه زمان تراکنش‌هاست و به‌نظر می‌رسد هکرها با دستپاچگی خاصی تترهای ترونی را جابه‌جا کرده‌اند. این مبالغ در چندین کیف پول و با تراکنش‌های ۴۵۰ و ۵۰۰ هزار دلاری تقسیم شده‌اند و با چند واسطه به کیف‌های ناشناس مقصد منتقل شده‌اند. طبق بررسی‌های پنتا حدود ۵ درصد از تترهای ترونی سرقتی به مقصد صرافی بایننس منتقل شده‌اند و باقی مقادیر همچنان در کیف‌های ناشناس نگه‌داری می‌شوند.

بلاکچین بایننس اسمارت چین

تحلیل شبکه BSC هم به دلیل تنوع و تعداد توکن‌ها بیچیده و زمان‌بر است. اما تیم پنتا با در نظر گرفتن ۴ آدرس مشکوک (۲ آدرس اعلامی توسط کوینکس و ۲ آدرس مرتبط با آن‌ها) مبالغ سرقتی در این شبکه را حدود ۳۲ هزار BNB برآورد می‌کند که با مقدار اعلامی توسط کوینکس (۲۹ هزار BNB) فاصله کمی دارد. از این مقدار تنها حدود دوهزار BNB جابه‌جا شده است و باقی مقادیر در همان ۴ آدرس نگه‌داری می‌شود.

اما بررسی توکن‌های سرقتی در شبکه BSC نکته قابل توجهی داشت و آن هم فعال شدن BRG Army در این ماجراست. همانطور که در تصویر زیر ملاحظه می‌کنید حدود ۷۰ میلیون توکن BRG با یک یا دو واسطه به مقاصدی منتقل شده‌اند، با تحلیل تراکنش‌های آدرس‌های مقصد، به‌نظر می‌رسد آدرس‌‌های مقصد متعلق به لیدرهای کامیونیتی BRG باشند.

پروژه BRG متعلق به مالک یکی از صرافی‌های ورشکسته و پرحاشیه رمزارز در کشورمان است و اینکه اعضای تیم این پروژه در صرافی کوینکس فعال باشند دور از انتظار نیست، اما سوال جدی اینجاست که ارتباط هک کوینکس با این پروژه چیست؟

بلاکچین اتریوم کلاسیک

صرافی کوینکس دو آدرس ETC را به‌عنوان آدرس‌های مشکوک معرفی کرده است. این آدرس‌ها در ۱۶ تراکنش مجموعا ۷۴۳۴ اتریوم کلاسیک از صرافی کوینکس به سرقت برده‌اند. دو روز پس از هک صرافی کوینکس و در تاریخ ۱۴ سپتامبر، همه ۷۴۳۴ اتریوم کلاسیک سرقتی با دو یا سه واسطه به صرافی بایننس منتقل شده است. همانند موارد قبلی از آنجایی که احراز هویت کاربران در صرافی بایننس الزامیست، رسیدن به سارقین یا سرنخی از آن‌ها با استفاده از اطلاعات احراز هویت صرافی بایننس کار پیچیده‌ای نخواهد بود.

آیا باز هم پای لازاروس در میان است؟

یک روز پس از ماجرای هک صرافی کوینکس یک حساب توییتری خبر از ارتباط هکرها با گروه معروف لازاروس داد. لازاروس یک گروه هکری در کره شمالی است که از سال ۲۰۱۷ در بسیاری از هک‌های دنیای رمزارزها نقش داشته است. این گروه دو هفته قبل مبلغی در حدود ۴۱ میلیون دلار از پلتفرم Stake، سرقت کرده بود.

تیم پنتا با بررسی ادعای این حساب توییتری به آدرسی در شبکه متیک رسید که بین دو ماجرای سرقت از کوینکس و سرقت از استیک مشترک است.

اما باتوجه به اینکه در بلاکچین‌های دیگر و سایر آدرس‌ها و تراکنش‌ها شواهد کافی وجود ندارد نمی‌توان با قطعیت گروه لازاروس را عامل سرقت حدود ۹۰ میلیون دلاری (حدود ۴۰ میلیون دلار از Stake و حدود ۵۰ میلیون دلار از Coinex)  از این دو پلتفرم در یک ماه اخیر دانست.

پیشنهادات

• باتوجه به اینکه معمولا اینگونه حوادث در چند موج انجام می‌شود، پنتا به همه کاربران کوینکس توصیه می‌کند به‌محض اینکه امکان برداشت از کوینکس فراهم شد، همه دارایی خود را تا مدتی به کیف پول شخصی خود منتقل کنند. به‌طور کلی باید گفت،‌ صرافی محل نگه‌داری دارایی کاربران نیست.
• در شرایط مشابه هک کوینکس، با استفاده از صرافی‌های معتبر داخلی با وجود تمام خلاءهای قانونی، امکان پیگیری دقیقتر را برای کاربر ایرانی فراهم خواهد بود.
• کسب‌وکارهای رمزارزی باید استانداردهای امنیتی را در بالاترین سطح رعایت کنند و همچنین باید در شرایط مشابه هک کوینکس علاوه بر پیگیری وجوه سرقتی با کمک تیم‌های آنالیز بلاکچین،‌ خسارت‌های وارده به کاربران را جبران کنند.