روشهای کلاهبرداری در دنیای ارزهای دیجیتال بسیار متنوع است و همگام با توسعه این فضا، بر تعداد آن نیز افزوده میشود. برخی از این تهدیدها بهطورمشخص خریداران و دارندگان ارزهای دیجیتال را هدف قرار میدهند و برخی دیگر تلاش میکنند از مفاهیم نوپایی همچون توکنهای غیرمثلی (NFT) سوءاستفاده کنند. روش اسلیپ مینتینگ (Sleep Minting) یکی از شیوههای جدید کلاهبرداری در فضای بلاک چین و ارزهای دیجیتال محسوب میشود که قربانیان خود را در حوزه توکنهای غیرمثلی پیدا میکند.
چنین کلاهبرداریهایی میتوانند با بیاعتمادکردن کاربران، بازار NFT را با مشکلهای مختلفی مواجه کنند؛ بههمیندلیل، کسب آگاهی بیشتر و آشنایی بهتر با چگونگی بررسی قراردادهای هوشمند و درنظرگرفتن مشکلات احتمالی میتواند کمک بزرگی به علاقهمندان به توکنهای غیرمثلی کند.
در این مطلب، قصد داریم اسلیپ مینتینگ و چگونگی وقوع آن و تعدادی از نمونههای مهم این کلاهبرداری را معرفی کنیم. همچنین، با بیان نحوه شناسایی این کلاهبرداری و شیوههای مقابله با آن، به شما کمک میکنیم تا با افزایش آگاهی در دام این کلاهبرداریها نیفتید.
اسلیپ مینتینگ به زبان ساده
اسلیپ مینتینگ نوعی کلاهبرداری در فضای توکنهای غیرمثلی است که با جعل توکن انجام میشود. در این شیوه، کلاهبردار یک توکن غیرمثلی جعلی را بهواسطه کیف پول سازندهای مشهور ایجاد و همزمان روشی برای بازیابی و برگرداندن توکن جعلی به کیف پول خود فراهم میکند. این شیوه از کلاهبرداری از باگها و آسیبپذیریهای قراردادهای هوشمند، خصوصاً در فضای توکنهای غیرمثلی سوءاستفاده میکند و بهطورمشخص روی مهمترین ویژگی توکنهای NFT، یعنی اصالتشان تأثیر میگذارد.
در سال ۲۰۲۱، حداقل ۲۷میلیارد دلار ارز دیجیتال به قراردادهای هوشمند توکنهای غیرمثلی مبتنیبر اتریوم، یعنی ERC721 و ERC1155، انتقال داده شد. جابهجایی این سرمایه هنگفت همراه با ظهور پروژههای پرطرفداری همچون «بورد ایپ یات کلاب» (BAYC) و «کریپتوپانکها» (CryptoPunks) و «دودِلها» (Doodles) نشاندهنده جذابیت این حوزه از ارزهای دیجیتال برای افراد در سرتاسر جهان است.
بااینحال، نباید فراموش کنیم که جنون توکنهای غیرمثلی میتواند تله بزرگی برای کاربران، بهویژه تازهواردها باشد. آنچه کار را برای انجام چنین کلاهبرداریهایی آسانتر میکند، درحقیقت پیچیدگی کد قراردادهای هوشمند NFTهاست؛ ویژگیای که اجازه نمیدهد این نوع هکها بهآسانی ردیابی شوند.
اسلیپ مینتینگ چگونه روی میدهد؟
کلاهبردار در اسلیپ مینتینگ ابتدا توکنی را ازطریق آدرس کیف پول یکی از سازندگان مشهور NFT ایجاد میکند و سپس، آن را به کیف پول خود انتقال میدهد؛ درحالیکه وانمود میکند سازنده خود این تراکنش را انجام داده است. در این روش، هکر قرارداد توکن غیرمثلی سفارشیشدهای مشابه سایر قراردادهای رایج در این فضا اجرا میکند؛ اما عمداً کار بررسی امنیتی آن را انجام نمیدهد. بدینترتیب، هکر این تصور اشتباه را ایجاد میکند که بهصورت قانونی توکن غیرمثلی ارزشمندی را از سازندهای معتبر دریافت کرده است.
این در حالی است که هنرمند اصلی که توکن با نام او ایجاد شده است، اطلاعی از این اتفاق ندارد. درواقع، در این روش کلاهبردار کد مخربی را با کد اصلی قرارداد توکن ترکیب میکند تا بتواند توکن جعلی را بدون نیاز به دریافت مجوز از کیف پول سازنده به کیف پول خود ارسال کند. بدینترتیب، هکر توکن جعلی را بدون نیاز به دریافت مجوز از کیف پول سازنده به کیف پول خود ارسال میکند و سپس، آن را در قالب توکنی معتبر در بازار ثانویهای همچون اوپنسی (OpenSea) یا لوکسریر (LooksRare) میفروشد.
نمونهای از اسلیپ مینتینگ
برای درک بهتر چگونگی انجام این کلاهبرداری، بهتر است اولین نمونه آن را باهم بررسی کنیم. در ۴آوریل۲۰۲۱، هکری ناشناس با نام مستعار موسیو پِرسون (Monsieur Personne) که بهفرانسوی بهمعنای «آقای هیچکس» است، موفق شد اولین اسلیپ مینتینگ NFT را انجام دهد. در این کلاهبرداری، هکر «نسخه دوم» اثر هنری «هرروز: اولین ۵,۰۰۰ روز» (Everydays: The First ۵,۰۰۰ Days) اثر بیپل را ایجاد کرد. گفتنی است ارزش نسخه اصلی این اثر ۶۹.۳میلیون دلار است.
بیشتر بخوانید: گرانترین NFTهای دنیا را بشناسید
هکر در این اقدام روی تصویر JPEG اثر کلیکراست نکرد تا آن را به نام خود ذخیره کند. درعوض، نسخه دوم و جعلی این اثر را با سوءاستفاده از کیف پول بیپل ایجاد کرد و سپس، آن را به کیف پول خود انتقال داد. درحقیقت، کلاهبردار دو تراکنش مخرب برای این کار انجام میدهد: ۱. توکن را بهصورت جعلی ایجاد میکند؛ ۲. آن را به حساب خود انتقال میدهد. این تراکنشها را فقط درصورتی میتوان انجام داد که امضایی معتبر بین دو طرف ایجاد شود.
قرارداد جعلی موسیو پِرسون بهگونهای نوشته شده بود که به این بررسی امنیتی، یعنی امضای طرفین روی بلاک چین نیازی نداشت. بدینترتیب، هکر توکن را دراختیار گرفت تا آن را در بازار ثانویه بفروشد یا به کیف پول دیگری ارسال کند و سود حاصل از فروش آن را به جیب بزند.
چرا اسلیپ مینتینگ برای بازار خطرناک است؟
ارزش اصلی توکنهای غیرمثلی منحصربهفردبودن خالق آنهاست. اسلیپ مینتینگ میتواند این اعتبار توکنهای غیرمثلی را خدشهدار کند. درصورتیکه این توکنهای یگانه را بتوان بهراحتی جعل کرد و فروخت، هیچ هدف و ارزشی برای آنها باقی نمیماند. درواقع، اسلیپ مینتینگ تهدیدی برای اصالت بازار توکنهای NFT بهشمار میرود و میتواند جذب سرمایه و سرمایهگذار به این بازار را کاهش چشمگیری دهد.
علاوهبراین، بزرگترین هدف کلاهبردارهای اسلیپ مینتینگ سازندگان برجسته این توکنها هستند که تعداد زیادی دنبالکننده در رسانههای اجتماعی دارند. بدینترتیب، کلاهبرداران با احتمال بیشتری میتوانند توکن جعلی خود را پیش از شناساییشدن بفروشند و با فریب افراد سود کسب کنند.
همچنین، این آسیبپذیری در قراردادهای ERC721 و ERC1155 که به توکنهای غیرمثلی مربوط میشوند، میتوانند زمینهساز کلاهبرداریهای بزرگتر بعدی شوند یا راه را برای پیداکردن ضعف توکنهای ERC20 باز کنند. خبر خوش این است که هنوز راهکارهایی برای شناسایی این توکنها وجود دارد و فقط تازهواردها و افراد ناآگاه ممکن است از این ناحیه ضربه بخورند.
چگونه کلاهبرداریهای اسلیپ مینتینگ را شناسایی کنیم؟
مهمترین اقدام برای شناسایی توکنهای جعلی اسلیپ مینتینگ، استفاده مناسب از مرورگر اتراسکن (Etherscan) یا سایر مرورگرهای بلاک چین است. با استفاده از این مرورگرها، میتوانید سابقه تراکنشهای قبلی توکن را بررسی کنید و مطمئن شوید که فروشنده کاربر خوشسابقهای است یا خیر.
بخش توکن ویو (Token View) به کاربران کمک میکند جزئیات توکنها را با دقت بیشتری بررسی کنند. ازآنجاکه هکر نمیتواند کلید خصوصی سازنده را داشته باشد و ازجانب او امضا کند، تراکنش ایجاد (Mint Transaction) نمیتواند آغاز شود. بهعنوان مثال، در نمونه تراکنش اثر بیپل میتوانید آدرس فرستنده تراکنش ایجاد توکن را با آدرس اصلی بیپل تطابق دهید. درصورت نداشتن تطابق، احتمالاً با تراکنشی جعلی سروکار دارید.
علاوهبراین، خدماتی همچون رباتهای تشخیص کلاهبرداری که مخصوص نمونههای اسلیپ مینتینگ در پلتفرم غیرمتمرکز نظارتی «فورتا» (Forta) است، به شما هشدارهایی درباره موارد کلاهبرداری ارائه میدهند. همچنین، اگر مشکوک هستید که توکن ممکن است جعلی باشد، میتوانید با سازنده اولیه ارتباط برقرار کنید و از او بخواهید کنترل توکن را پس بگیرد. حس ششمتان را هم دستکم نگیرید. اگر پیشنهاد خرید توکنی را دراختیار دارید که بیشازحد وسوسهکننده بهنظر میرسد، بهتر است به آن شک کنید.
درنهایت، اگر به توکن خود شک دارید، راه فروش فوری توکن با درصدی تخفیف در پلتفرمهای معامله توکنهای غیرمثلی نیز پیش روی شما خواهد بود؛ البته توجه کنید که همیشه نمیتوان بهراحتی خریدار مناسبی برای این توکنها پیدا کرد و ممکن است دچار ضرر شوید. درمجموع، آگاهی از خطرهای احتمالی در زمان خرید و توجه به جزئیات توکن، به شما کمک میکند با خیال آسودهتری وارد بازار سرمایهگذاری شوید.
چگونه از خطر اسلیپ مینتینگ در امان باشیم؟
علاوهبر آنچه گفتیم، چند راهکار ساده نیز وجود دارند که به شما کمک میکنند تاحدممکن دچار کلاهبرداریهای اسلیپ مینتینگ نشوید. درادامه، به تعدادی از این راهکارها اشاره میکنیم:
- پیش از خرید یا دریافت توکن غیرمثلی، حتماً سازنده و منشأ توکن را بررسی کنید.
- اگر با آدرسها و قراردادهای هوشمند NFT آشنا نیستید، حتماً پیش از خرید درباره این موضوع مطالعه کنید.
- تاحدممکن سعی کنید آگاهی و دانش خود را درباره توکنهای غیرمثلی و شیوه ایجاد آنها افزایش دهید.
- درصورتیکه توکنی را از منبعی ناشناس دریافت کردید، فوراً آن را از کیف پول خود حذف کنید.
- اگر مشکوک هستید که قربانی اسلیپ مینتینگ شدهاید، با سازندگان اصلی توکن تماس بگیرید و درصورت امکان از آنان کمک بخواهید.
- گزارش فعالیتهای مشکوک را به مراجع قانونی ارائه دهید و سایر کاربران را ازطریق شبکههای اجتماعی و تالارهای گفتوگو مطلع کنید.
علاوهبراین، سازندگان توکنهای غیرمثلی نیز باید احتیاط لازم را در این زمینه بهخرج دهند. بهعنوان مثال، آنان میتوانند از ارائه مجوز برای ایجاد توکن NFT در کیف پول خود بهدست کاربران این کلاهبرداری مشکوک خودداری کنند و هرگونه فعالیت مشکوک مربوط به کیف پول خود را بهدقت زیرنظر بگیرند. شایان ذکر است که سازندگان معتبر توکنهای غیرمثلی نیز قربانی اسلیپ مینتینگ بهشمار میروند و ممکن است اعتبار خود و ارزش آثارشان را از دست بدهند.
جمعبندی
در این مقاله، با یکی از انواع جدید کلاهبرداریها در فضای ارزهای دیجیتال به نام اسلیپ مینتینگ آشنا شدیم. در روش اسلیپ مینتینگ، هکر با سوءاستفاده از کیف پول یکی از سازندگان معتبر توکنهای غیرمثلی توکنی جعلی ایجاد میکند؛ اما سود حاصل از فروش و انتقال توکن را خود به جیب میزند. همچنین، مراحل اولین نمونه اسلیپ مینتینگ را مرور کردیم و توضیح دادیم که چرا این نوع کلاهبرداری میتواند برای تمام فضای ارزهای دیجیتال پرهزینه و مخرب تمام شود. در پایان نیز، به روشهای کاربردی برای شناسایی و درامانماندن از کلاهبرداری اسلیپ مینتینگ اشاره کردیم.
با گسترش فضای ارزهای دیجیتال، هکرها نیز به روشها و رویکردهای جدیدی برای هک و کلاهبرداری روی میآورند. تکامل حوزههای نوین فناوریهای تازهنفسی همچون بلاک چین و ارزهای دیجیتال درکنار تمام دستاوردهای خود موجب میشود ضعفهای این فناوریها نیز بهانههایی برای نفوذ به سیستم دراختیار کلاهبرداران قرار دهد. بااینهمه، خبر خوش این است که این سوءاستفادههای اجتنابناپذیر میتوانند به پوشش ضعفها و ایجاد قوانین بازدارنده برای جلوگیری از تکرار مشکلات مشابه کمک کنند.
درواقع، حرکت هکر ناشناسی با نام مستعار موسیو پرسون با هدف جعل یکی از توکنهای غیرمثلی ارزشمند بازار باعث شد تا کاربران این حوزه به اهمیت خوانش صحیح قراردادهای هوشمند و تحلیل آنها بیشتر پی ببرند. نمونههایی از اسلیپ مینتینگ اهمیت گسترش و افزایش دانش درباره امنیت توکنهای غیرمثلی را بیشازپیش برجسته کرد. همچنین، این مسئله باعث یادآوری یکی از اصول بلاک چین، یعنی نیازنداشتن به اعتماد به طرف معامله شد. بهعبارت سادهتر، درصورتیکه میدانید چگونه باید قرارداد هوشمند را بخوانید، به اعتماد به طرف مقابل نیازی ندارید.