داستان هک صرافی Mt.Gox، بزرگترین سرقت تاریخ بیت کوین !

در اوایل سال ۲۰۱۴، صرافی ژاپنی Mt.Gox بزرگ‌ترین صرافی بیت کوین در جهان به شمار می‌رفت و  کنترل بیش از ۷۰ درصد از معاملات بیت کوین جهان را در دست داشت. در اواخر فوریه (اسفند) همان سال، این صرافی ورشکسته شد.

صرافی بیت کوین MT.Gox قربانی یک هک بزرگ بود و حدود ۷۴۰٬۰۰۰ بیت کوین (٪۶ بیت کوین‌های موجود آن زمان) را از دست داد که ارزشش در  آن موقع، معادل ۴۶۰ میلیون یورو و در اکتبر ۲۰۱۷ معادل ۳ میلیارد دلار بود.

به‌علاوه، ۲۷ میلیون دلار نیز از حساب‌های بانکی این شرکت دزدیده شد. با اینکه ۲۰۰٬۰۰۰ بیت کوین‌ دزدیده‌شده بازیابی شدند، اما ۶۵۰٬۰۰۰ بیت کوین دیگر هرگز پیدا نشدند.

در این مقاله پیدایش و سقوط صرافی Mt.Gox و نتایج حاصل از هک آن را با یکدیگر تشریح کرده و بررسی می‌کنیم.

آیا  این هک ممکن است مجددا اتفاق بیفتد؟

پیدایش صرافی Mt.Gox

این صرافی در سال ۲۰۱۰ توسط یک برنامه‌نویس آمریکایی به نام جد مک کلاب (Jed McCaleb) که کمی بعد ریپل را پایه‌گذاری کرد، شروع به کار نمود. یک توسعه‌دهنده‌ی فرانسوی و یکی از علاقه‌مندان به بیت کوین به نام مارک کارپلس (Mark Karpelés) در مارس ۲۰۱۱، MT.Gox را خرید. این صرافی به‌سرعت رشد کرده و به محبوب‌ترین صرافی بیت کوین در جهان تبدیل شد. همچنین، جالب است بدانید که Mt.Gox با نام کامل Magic The Gathering Online Exchange نیز شناخته می‌شود.

در ژوئن ۲۰۱۱ این صرافی هک شد. به نظر می‌رسد این اتفاق، به علت وجود آسیب‌پذیری در کامپیوتر یکی از حسابداران شرکت به وجود آمد. در این حادثه، هکر با دسترسی به صرافی، ارزش اسمی بیت کوین را به‌طور مصنوعی تا ۱ سنت کاهش داد و حدود ۲۰۰۰ بیت کوین را از حساب‌های کاربران صرافی بالا کشید و آنها را فروخت. علاوه بر آن، حدود ۶۵۰ بیت کوینی که توسط مشتریان Mt.Gox به علت کاهش مصنوعی قیمت خریداری شد، هیچ یک بازگردانده نشدند. درنتیجه این هک، صرافی Mt.Gox تصمیم به اتخاذ چند معیار امنیتی جدید گرفت که شامل ذخیره‌ی مقدار قابل‌توجهی از بیت کوین‌های خود به صورت آفلاین و در کیف‌پول‌های سرد بود.

علی‌رغم هک Mt.Gox در ژوئن ۲۰۱۱، این صرافی موفق به کسب عنوان بزرگ‌ترین صرافی بیت کوین جهان در سال ۲۰۱۳ شد. این موضوع موجب علاقه‌مندی افراد به بیت کوین به‌عنوان یک ارز ارزشمند و افزایش قیمت آن شد. (از ۱۳ دلار در ژانویه ۲۰۱۳ به بیش از ۱۲۰۰ دلار رسید)

کشمکش‌های پشت پرده

با وجود اینکه Mt.Gox به‌سرعت توانست در سال ۲۰۱۳ به لقب بزرگ‌ترین صرافی بیت کوین جهان دست یابد، اما در پشت پرده همچنان تنش‌هایی در جریان بود. از زمان فروپاشی و هک قبلی این صرافی، بعضی از کارمندان این شرکت راجع به اینکه این صرافی چطور کار می‌کند؛ با ایجاد تصویری از یک سازمان بی‌نظم و متضاد، بهره‌گیری از روش‌های امنیتی ضعیف، وجود مشکلات جدی در سورس کد سایت صرافی و چندین مشکل در حال رشد دیگر که عملیات تجاری شرکت را تحت تأثیر قرار می‌داد، سبب تخریب چهره‌ی صرافی شدند.

در تاریخ ۵ می ۲۰۱۳، یکی از شرکای تجاری Mt.Gox به نام کوین لب (Coinlab) با ادعای نقض قرارداد، Mt.Gox را به پرداخت غرامت ۷۵ میلیون دلاری محکوم کرد. این دو شرکت توافق‌نامه‌ای را امضا کردند که تحت آن، ارائه سرویس به مشتریان آمریکایی Mt.Gox بر عهده شرکت کوین لب قرار می‌گرفت. اما با توجه به طرح دعوی مطرح شده توسط شرکت کوین لب، این معامله به دلیل زیر پا گذاشتن یک بند از قرارداد توسط صرافی Mt. Gox نقض شده بود.

به‌علاوه، طبق بررسی‌های انجام شده توسط آژانس امنیت ملی ایالات‌متحده، یکی از شرکت‌های آمریکایی تابع Mt.Gox، بدون داشتن مجوز و به‌عنوان یک شرکت انتقال پول ثبت نشده در حال فعالیت بود. بنابراین با ادامه این تحقیقات، مبلغ ۵ میلیون دلار از حساب بانکی این شرکت توسط دولت آمریکا کشف و ضبط شد.

درنتیجه تحقیقات دولت آمریکا، صرافی Mt.Gox اعلام کرد که به‌طور موقت اقدام به تعلیق قابلیت برداشت دلار از حساب کاربری مشتریان خود خواهد کرد. پس از این اتفاق، در حالی که اکثر منابع رسمی، مدت تعلیق در برداشت از حساب‌ها را تنها یک ماه عنوان کرده بودند، بسیاری از کاربران تا ۳ ماه نمی‌توانستند پول خود را از این صرافی برداشت کنند و تنها برخی از برداشت‌های دلاری از حساب‌ها موفقیت آمیز بود. مجموع این تاخیرها در ارائه خدمات سبب کاهش مقام Mt.Gox به‌عنوان بزرگ‌ترین صرافی بیت کوین جهان به رتبه‌ی سوم تا پایان سال ۲۰۱۳ شد.

با این حال، آن‌طور که پیداست موارد ذکر شده تنها بخش کوچکی از مسائل آنان را تشکیل می‌دادند و در زیرپوشش این شرکت، Mt. Gox مشکلاتی بسیار بزرگ‌تر از تصور خود داشته است. به نظر می‌رسد که این صرافی برای بیش از دو سال قربانی یک هک دنباله‌دار بوده است.

هک بزرگ Mt.Gox

در تاریخ ۷ فوریه ۲۰۱۴، Mt.Gox تمام درخواست‌ها و قابلیت برداشت بیت کوین را صرفاً با ادعای بازنگری فنی و بررسی دقیق فرایند این ارز، متوقف کرد. درنهایت و پس از چند هفته بلاتکلیفی، در ۲۴ فوریه ۲۰۱۴ این صرافی تمام معاملات را مسدود کرده و وب‌سایت این شرکت از دسترس خارج شد. در همان هفته و به‌واسطه‌ی یک سند درز کرده از شرکت مشخص شد که هکرها با حمله به این صرافی، تعداد ۷۴۴٬۴۰۸ بیت کوین متعلق به مشتریان Mt.Gox به‌علاوه ۱۰۰٬۰۰۰ بیت کوین متعلق به خود صرافی را به سرقت برده‌اند که درنتیجه این اتفاق، شرکت اعلام ورشکستگی کرده است. در ادامه نیز این صرافی در در تاریخ ۲۸ فوریه و ۱۲ مارس در ژاپن و آمریکا به‌طور رسمی اعلام ورشکستگی کرد.

تحقیقات بعدی در رابطه با هک بزرگ Mt.Gox نشان داد که اولین حملات ناشی از این هک بسیار قبل‌تر و از سپتامبر ۲۰۱۱ آغاز شده بود. بنابراین، پیداست که این صرافی در حالی به فعالیت خود ادامه داده است که از دو سال پیش‌تر ورشکسته بوده و عملاً تمام بیت کوین‌هایش را تا میانه‌سال ۲۰۱۳ از دست داده است. به‌علاوه، شواهد و مدارک نشان دادند Mt.Gox بیش از ۸۰٬۰۰۰ بیت کوین را نیز پیش از خرید آن توسط Mark Karpelés در ۲۰۱۱ از دست داده است.

اگرچه با ادامه تحقیقات، حقیقت همچنان در هاله‌ای از ابهام قرار دارد اما بر طبق یک فرضیه، اکثر بیت کوین‌ها از کیف پول‌های آنلاین ( یا کیف پول گرم) این صرافی به سرقت رفته‌اند که شامل ارزهایی که به‌واسطه‌ی نفوذ در کیف پول آنلاین از کیف پول های سرد دزدیده شده نیز می‌شوند. کیف پول های آنلاین، کیف پول های مبتنی بر وب هستند که برای ذخیره‌ی کدهای دیجیتالی ایمن استفاده می‌شوند. این کدها که کلید خصوصی (Private Key) نام دارند، برای اثبات مالکیت کلید عمومی (Public Key) یا کدهای دیجیتالی عمومی مورد استفاده قرار می‌گیرند و در صورت تأیید مالکیت می‌توان از آن‌ها برای دسترسی به آدرس ارز و اطلاعات مربوط به آن در کیف پول استفاده کرد. تا پیش از سپتامبر ۲۰۱۱، کلیدهای خصوصی Mt. Gox به دلیل عدم رمزگذاری به‌راحتی قابل‌مشاهده بودند که توسط یک هکر و یا شاید یکی از کارمندان داخلی شرکت در قالب یک فایل Wallet.dat دزدیده شدند.

پس از هک شدن این فایل، هکر(ها) به‌تدریج و به‌واسطه‌ی کلیدهای خصوصی Mt.Gox توانستند بدون شناسایی شدن هک به بیت کوین‌های رمزنگاری شده در حساب‌های مرتبط با این شرکت دست یابند. ظاهراً، از آنجایی که سپرده‌های این شرکت به‌واسطه‌ی سیستم تفسیر نقل و انتقالات در حال ارجاع به یک آدرس ایمن‌تر بودند، این صرافی نسبت به استفاده مجدد کلیدواژه مشترک موجود در فایل کپی شده خود که به معنی وقوع یک سرقت است، بی‌توجه بوده. همچنین به علت آنکه بیش از ۴۰٬۰۰۰ بیت کوین به چندین حساب کاربری مختلف فرستاده‌شده بود، سیستم‌های Mt.Gox تنها زمانی می‌توانستند این دزدی را تشخیص دهند که کیف پول شرکت کاملاً خالی شده باشد.

پیامد‌ها

در مارس ۲۰۱۴، Mt.Gox با انتشار گزارشی در سایت خود به یافتن ۲۰۰٬۰۰۰ بیت کوین موجود در کیف پول‌های دیجیتال قدیمی خود که مربوط به استفاده تا پیش از ژوئن ۲۰۱۱ بودند اشاره کرد. این بیت کوین‌ها در حالی برای حفظ اعتماد طلبکاران نگهداری شدند که شرکت همچنان تحت قوانین حفاظت از ورشکستگی قرار داشت.

مارک کارپلس نیز در آگوست ۲۰۱۵ و در ژاپن به جرم تقلب و اختلاس بازداشت شد، در حالی که هیچ‌یک از اتهام‌های وی مستقیماً به موضوع سرقت مرتبط نبودند. او تا ماه جولای ۲۰۱۶ در زندان بود و پس از آزادی به قید وثیقه، درخواست بازنگری نسبت به اتهامات وارد شده به خود را داد که محاکمه وی تا این لحظه همچنان ادامه داشته است.

Mt. Gox در حالی تحت حفاظت قوانین مرتبط با ورشکستگی قرار گرفته که تحقیقات در رابطه با این شرکت همچنان ادامه دارد. به‌علاوه، دعوی قضایی Coinlab نیز همچنان ادامه دارد و تا پایان حل این پرونده امکان توزیع حقوق بستانکاران امکان‌پذیر نخواهد بود.

سرانجام پول‌ها چه شد؟

درنتیجه هک Mt.Gox، همچنان ۶۵۰٬۰۰۰ بیت کوین بی‌اعتبار وجود دارد. در حال حاضر چندین نظریه مختلف در اینترنت عنوان‌شده که می‌توانند پاسخی برای محل سکه‌های گم شده باشند. برخی از آن‌ها احتمال می‌دهند که ادعای Mt. Gox مبنی بر داشتن این تعداد بیت کوین هرگز واقعی نبوده و آقای Karpelés برای بزرگ‌نمایی در تعداد بیت کوین‌های موجود در این صرافی، اعداد را دست‌کاری کرده است.

با ادای احترام به توانایی هکر در دستیابی به بیت کوین‌های نگهداری شده در کیف‌پول‌های سرد Mt. Gox، نظریه‌های محدودی برای این موضوع عنوان شده است که برخی از آن‌ها از احتمال به خطر انداختن فضای ذخیره‌سازی توسط فردی با دسترسی به سایت صحبت می‌کنند و در نظریه‌ای دیگر گمان می‌شود زمانی که حجم پول کیف پول گرم کاهش پیدا می‌کرد تا سکه‌های کیف‌پول سرد متناوباً به‌عنوان سپرده جدید به سیستم صرافی وارد شوند، به دلیل عدم مسئولیت‌پذیری کارمندان هیچ‌کس از خالی شدن تدریجی حساب توسط هکرها مطلع نمی‌شد.

در جولای ۲۰۱۷، یک فرد روسی به نام الکساندر وینیک (Alexander Vinnik) توسط ایالات‌متحده در یونان و به اتهام شستشوی بیت کوین‌های دزدیده‌شده از Mt.Gox بازداشت شد. به‌علاوه، Vinnik توسط مقامات یونانی به شستشوی ۴ میلیون دلار بیت کوین دیگر نیز متهم شد. گفته می‌شود که این فرد یکی از افراد مرتبط با صرافی BTC-e است که در پول‌شویی بیت کوین‌های به سرقت رفته از Mt.gox نقش داشته و در طی انجام تحقیقات توسط پلیس فدرال آمریکا (FBI) موردحمله قرار گرفته است. سایت BTC-e نیز به‌طور کامل متوقف شد و نام دامنه آن نیز توسط FBI ضبط گردید. این نخستین بار است که ایالات‌متحده یک صرافی خارجی در کشورd دیگر را مصادره می‌کند. پس از بررسی‌های انجام شده توسط تیم Wizsec (یک تیم متشکل از متخصصان امنیتی بیت کوین) مشخص شد که وینیک صاحب کیف‌ پول‌ هایی از بیت کوین‌های انتقال داده شده است که بسیاری از آن‌ها در صرافی BTC-e به فروش رفته بودند.

با وجود ادامه‌ی محاکمه‌ی مارک کارپلس و اتهام وارد شده به Vinnik، به نظر می‌رسد که سرنخ‌های تحقیقات بر روی هک Mt. Gox در نهایت به یکدیگر مرتبط شده‌اند. حتی اگر تمام این اتفاقات بتوانند سبب بازیابی تمام یا بخشی از بیت کوین‌های دزدیده شده شوند بازهم به نظر نمی‌رسد بتوانیم در آینده‌ای نزدیک شاهد جزئیات بیشتری در رابطه با هک صرافی Mt. Gox باشیم.

آیا دوباره اتفاق خواهد افتاد؟

در جواب کوتاه باید گفت، می‌تواند اتفاق بیافتد. در حال حاضر صرافی‌های بیت کوین زیادی وجود دارند که برخی از آن‌ها نسبت به دیگران از اعتبار بیشتری برخوردارند. صرافی‌های محبوبی چون کوین بیس و بایننس در رابطه با عملیات خود نسبتاً شفاف هستند، همچنین ارائه سپرده‌های بیمه‌شده و حمایت مالی سرمایه‌گذاران معتبر نیز از سایر مزیت‌های این صرافی‌ها است. با این حال، این صرافی‌ها در حال تبدیل به اهداف هکرهای خبره‌ای هستند که با پیدا کردن حفره‌های امنیتی خشنود می‌شوند.

به‌علاوه، در حال حاضر تعداد زیادی از صرافی کوچک‌تر وجود دارند که اطلاعات واضحی از نحوه کارکرد آنها وجود ندارد. البته این موضوع به معنی هک شدن این صرافی‌ها و بی‌اعتبار بودن آنان نیست. اما وقتی صحبت از خریدوفروش ارزهای دیجیتال به میان می‌آید، برای آرامش ذهن خودتان هم که شده، از صرافی‌های معتبر در این حوزه استفاده کنید و در صورتی که قصد استفاده از یک صرافی کوچک را دارید، از قانونی بودن آن برای تضمین مبادلات خود اطمینان حاصل کنید.

اگر با مطالب گفته شده، همچنان ترسی در استفاده از این صرافی‌ها ندارید، به‌عنوان آخرین نکته به شما توصیه می‌کنم که هرگز از صرافی‌ها برای ذخیره بیت کوین‌های خود استفاده نکنید.

منبع: blockonomi