بزرگترین گلوگاه توسعه دیفای

نویسنده: کلوئی، زنجیرگیر

هفته گذشته، پروتکل وام‌دهی سولانا (Solana) با نام Drift هک شد و در نتیجه تقریباً ۲۸۵ میلیون دلار از دارایی‌های کاربران به سرقت رفت. طبق بیانیه‌های رسمی، این یک حمله‌ی معمولی برای آسیب‌پذیری قراردادهای هوشمند نبود، بلکه یک حمله‌ی مهندسی اجتماعی شش ماهه و با برنامه‌ریزی دقیق توسط هکرهای تحت حمایت دولت بود.

حتی شواهد تحقیقاتی وجود دارد که نشان می‌دهد همان گروه از بازیگران تهدید ممکن است قبلاً به هسته توسعه چندین پروتکل DeFi نفوذ کرده باشند، نه به عنوان مهاجم، بلکه به عنوان مشارکت‌کننده.

هکرهای کره شمالی معمولاً به اهداف اولیه نفوذ می‌کنند اما به ندرت مبالغ هنگفتی سرمایه‌گذاری می‌کنند.

طبق بیانیه مربوط به حادثه Drift، استراتژی اصلی مهاجمان «تبدیل شدن به بخشی از اکوسیستم» بوده است.

از پاییز ۲۰۲۵، آنها خود را به عنوان یک شرکت معاملات کمی جا زدند و در کنفرانس‌های بزرگ صنعت کریپتو، شروع به تعامل با مشارکت‌کنندگان اصلی Drift کردند. این تعامل یک اتفاق یکباره نبود، بلکه تعاملات متعددی در کشورها و کنفرانس‌های مختلف بود که عمداً طی شش ماه انجام شد. این افراد از نظر فنی ماهر بودند، پیشینه‌های قابل اثباتی داشتند و با نحوه عملکرد Drift به خوبی آشنا بودند.

علاوه بر این، تعاملات آنها محدود به اعضای اصلی Drift نبود. این تیم همچنین از سازوکار باز صندوق اکوسیستم Drift سوءاستفاده کرد و با موفقیت صندوق خود را به عنوان یک شرکت تجاری قانونی در فهرست قرار داد، بیش از ۱ میلیون دلار از سرمایه خود را واریز کرد، در جلسات کاری متعدد شرکت کرد و سوالات عمیقی در مورد محصول مطرح کرد و از این طریق اعتماد تیم پروژه را تقویت کرد.

استیون، متخصص فناوری بلاکچین، در مصاحبه‌ای با ChainCatcher اظهار داشت: «هکرهای کره شمالی از همان ابتدا به اهداف نفوذ می‌کردند، که این یک رویه رایج است، اما سرمایه‌گذاری مبالغ هنگفت به عنوان مبنایی برای اعتمادسازی نسبتاً نادر است.» با این حال، برای مهاجمان، این ۱ میلیون دلار اساساً یک سرمایه‌گذاری بدون ریسک است؛ تا زمانی که آنها حمله‌ای را آغاز نکنند، این پول صرفاً وجوه عادی موجود در خزانه است که می‌تواند در هر زمانی برداشت شود؛ و عملیات واقعی توسط پرسنل شخص ثالث ناخواسته انجام می‌شود که تقریباً هیچ ضرر اقتصادی برای خود سازمان به همراه ندارد.

علاوه بر این، در طول همکاری طولانی‌مدت خود با Drift، این تیم به بهانه نمایش ابزارهای توسعه خود، پروژه‌های کد و برنامه‌های ذخیره‌شده در GitHub را به اشتراک گذاشت. با توجه به شرایط آن زمان، کاملاً طبیعی بود که شرکا کد یکدیگر را بررسی کنند. با این حال، تحقیقات بعدی توسط Drift نشان داد که یکی از مشارکت‌کنندگان، یک پروژه کد GitHub حاوی کد مخرب را کپی کرده است، در حالی که مشارکت‌کننده دیگری وادار به دانلود یک برنامه TestFlight شده است که خود را به عنوان یک محصول کیف پول جا زده است.

دلیل اینکه محافظت از مسیر پروژه کد دشوار است این است که کاملاً در گردش کار روزانه توسعه‌دهندگان جاسازی شده است. توسعه‌دهندگان معمولاً هنگام نوشتن کد از ویرایشگرهای کد مانند VSCode یا Cursor استفاده می‌کنند که می‌توان آن‌ها را به عنوان Word برای مهندسان در نظر گرفت، چیزی که روزانه باز می‌کنند و از آن استفاده می‌کنند.

جامعه‌ی تحقیقات امنیتی تا پایان سال ۲۰۲۵ یک آسیب‌پذیری جدی در چنین ویرایشگرهایی کشف کرد: وقتی توسعه‌دهندگان پروژه‌های کد به اشتراک گذاشته شده توسط دیگران را باز می‌کردند، دستورات مخرب پنهان درون پروژه‌ها به طور خودکار در پس‌زمینه، کاملاً مخفیانه، بدون هیچ پنجره‌ی تأییدی روی صفحه نمایش، بدون نیاز به کلیک برای موافقت و بدون ارائه‌ی هیچ هشداری، اجرا می‌شدند. توسعه‌دهندگان معتقد بودند که صرفاً «به کد نگاه می‌کنند»، اما در واقع کامپیوترهای آنها به درهای پشتی مجهز شده بود. مهاجمان از این آسیب‌پذیری برای پنهان کردن بدافزار در عملیات روزانه‌ای که توسعه‌دهندگان به‌طور معمول انجام می‌دادند، سوءاستفاده کردند.

تا زمانی که حمله Drift در اول آوریل رخ داد، سوابق چت تلگرام مهاجمان و تمام آثار بدافزار به طور کامل پاک شده بود و تنها ۲۸۵ میلیون دلار کسری باقی مانده بود.

آیا دریفت فقط نوک کوه یخ است؟

طبق تحقیقات سازمان واکنش امنیتی اضطراری SEAL 911 در صنعت ارزهای دیجیتال، این حمله توسط همان گروهی از هکرها انجام شده است که مسئول هک Radiant Capital در اکتبر 2024 بودند. این ارتباطات شامل جریان‌های مالی درون زنجیره‌ای (وجوهی که برای آماده‌سازی و آزمایش این عملیات استفاده شده و به مهاجمان Radiant برمی‌گردد) و الگوهای عملیاتی (شخصیت‌های به‌کاررفته در این عملیات، همپوشانی‌های قابل شناسایی با فعالیت‌های شناخته‌شده کره شمالی را نشان می‌دهند) می‌شود. Mandiant، یک شرکت شناخته‌شده‌ی بررسی‌های امنیتی که توسط Drift (که اکنون بخشی از گوگل است) استخدام شده است، پیش از این حادثه‌ی Radiant را به سازمان وابسته به دولت کره‌ی شمالی UNC4736 نسبت داده بود، اما Mandiant هنوز رسماً حادثه‌ی Drift را نسبت نداده است و بررسی‌های کامل بررسی‌های امنیتی دستگاه هنوز در حال انجام است.

نکته قابل توجه این است که افرادی که شخصاً در جلسات شرکت داشتند، تبعه کره شمالی نبودند. استیون اظهار داشت: «هکرهای کره شمالی را نباید به عنوان یک سازمان هکری معمولی، بلکه باید به عنوان یک آژانس اطلاعاتی در نظر گرفت؛ این یک سازمان بزرگ با هزاران نفر و نقش‌های کاملاً تعریف‌شده است.» در میان آنها، هکر کره شمالی، لازاروس، رسماً در حوزه امنیت بین‌المللی با نام APT38 شناخته می‌شود، در حالی که یک سازمان وابسته دیگر، کیمسوکی، با نام APT43 شناخته می‌شود.

این توضیح می‌دهد که چرا آنها می‌توانند افراد واقعی را به صورت آفلاین مستقر کنند. آنها شرکت‌هایی را در خارج از کشور با نام‌های مختلف تأسیس می‌کنند و پرسنل محلی را استخدام می‌کنند، که حتی ممکن است از اینکه برای چه کسی کار می‌کنند، بی‌اطلاع باشند. «او ممکن است فکر کند که به یک شرکت کار از راه دور معمولی پیوسته است و پس از یک سال برای ملاقات با یک مشتری فرستاده می‌شود؛ همه چیز عادی به نظر می‌رسد، اما پشت آن یک سازمان هکری قرار دارد.» وقتی مأموران قانون برای تحقیق می‌آیند، آن شخص هیچ چیز نمی‌داند.»

حالا، Drift ممکن است فقط نوک کوه یخ باشد.

اگر حادثه Drift یک آسیب‌پذیری را در یک پروتکل واحد نشان دهد، تحقیقات بعدی به یک مسئله بزرگتر اشاره می‌کنند: ممکن است همین روش‌ها سال‌ها در کل اکوسیستم DeFi در حال اجرا بوده باشند.

طبق تحقیقات تایوانو، محقق حوزه بلاک چین، از زمان گسترش سریع دیفای در سال ۲۰۲۰، مشارکت‌های کد مرتبط با کارکنان فناوری اطلاعات کره شمالی در چندین پروژه شناخته شده از جمله SushiSwap، THORChain، Harmony، Ankr و Yearn Finance گسترش یافته است.

روش‌های مورد استفاده این افراد به طرز چشمگیری مشابه روش‌های مورد استفاده در حادثه Drift است: استفاده از هویت‌های جعلی، به دست آوردن نقش‌های توسعه از طریق پلتفرم‌های فریلنسری و تماس‌های مستقیم، ورود به کانال‌های Discord، جوامع توسعه‌دهندگان و حتی شرکت در جلسات توسعه‌دهندگان. وقتی وارد پروژه می‌شوند، در کد مشارکت می‌کنند، در چرخه‌های توسعه شرکت می‌کنند و با تیم اعتماد ایجاد می‌کنند تا زمانی که کل معماری پروتکل را درک کنند و منتظر لحظه مناسب برای اقدام بمانند.

استیون معتقد است که در سازمان‌های اطلاعاتی سنتی، آنها حتی می‌توانند تا آخر عمر در کمین بنشینند و نسل بعدی، وظایف ناتمام نسل قبل را ادامه دهد. برای آنها، پروژه‌های وب ۳ کوتاه‌مدت با بازده بالا هستند و ماهیت کار از راه دور به یک نفر اجازه می‌دهد تا چندین نقش را در پروژه‌های مختلف بر عهده داشته باشد، که این امر در صنعت وب ۳ کاملاً رایج است و سوءظنی ایجاد نمی‌کند.

«سازمان هکرهای کره شمالی تمام پروژه‌های وب ۳ را در محدوده حمله خود قرار می‌دهد، هر پروژه را با دقت بررسی می‌کند و اطلاعات مربوط به اعضای تیم را جمع‌آوری می‌کند.» استیون گفت: «درک آنها از پروژه‌ها واضح‌تر از درک خود تیم‌های پروژه است.» دلیل اینکه وب ۳ به هدف اصلی تبدیل شده است این است که این اکوسیستم بودجه زیادی دارد، فاقد مقررات جهانی یکپارچه است و رواج کار از راه دور اغلب تأیید هویت واقعی همکاران و کارمندان را غیرممکن می‌کند. علاوه بر این، ماهیت عموماً جوان و بی‌تجربه‌ی متخصصان، محیط نفوذ ایده‌آلی را برای سازمان‌های اطلاعاتی کره شمالی فراهم می‌کند.

حوادث هک رایج هستند؛ تیم‌های پروژه فقط می‌توانند بنشینند و منتظر بمانند؟

با نگاهی به حوادث بزرگ سال‌های اخیر، مهندسی اجتماعی همیشه یکی از تاکتیک‌های اصلی گروه‌های هکری کره شمالی بوده است. اخیراً، خاطرات بنیانگذار بایننس، CZ، با عنوان «زندگی بایننس» منتشر شد که در آن به ماجرای هک شدن بایننس در ماه مه ۲۰۱۹ و سرقت ۷۰۰۰ بیت‌کوین پرداخته شده است. طبق گفته CZ، هکرها ابتدا با استفاده از بدافزار پیشرفته به لپ‌تاپ‌های چندین کارمند نفوذ کردند، سپس در آخرین مرحله از فرآیند برداشت، دستورات مخرب را پیاده‌سازی کردند و تمام ۷۰۰۰ بیت‌کوین را از کیف پول داغ در ساعت ۱ بامداد (به ارزش تقریبی ۴۰ میلیون دلار در آن زمان) به سرقت بردند. CZ در این کتاب نوشته است که بر اساس روش‌های حمله، هکرها مدتی در شبکه بایننس کمین کرده بودند و به شدت مظنون هستند که از گروه لازاروس کره شمالی باشند و احتمالاً حتی به کارمندان داخلی رشوه داده‌اند.

حادثه شبکه رونین در سال ۲۰۲۲ نیز یک مورد کلاسیک است. رونین، زنجیره جانبی پشت بازی محبوب بلاکچین Axie Infinity است که مسئول مدیریت تمام نقل و انتقالات بین زنجیره‌ای دارایی‌های درون بازی است و در آن زمان مقدار زیادی سرمایه قفل شده داشت. این حمله زمانی آغاز شد که یک توسعه‌دهنده پیشنهاد شغلی به ظاهر پردرآمدی از یک شرکت شناخته‌شده دریافت کرد و در طول فرآیند مصاحبه، فایلی حاوی بدافزار را دانلود کرد که به مهاجمان اجازه دسترسی به سیستم داخلی و در نهایت سرقت ۶۲۵ میلیون دلار را داد.

حادثه CoinsPaid در سال ۲۰۲۳ تقریباً از تاکتیک‌های یکسانی استفاده کرد. کوینزپید (CoinsPaid) یک ارائه‌دهنده خدمات پرداخت با ارزهای دیجیتال است و مهاجمان به طور مشابه از طریق یک فرآیند استخدام جعلی به کارمندان نزدیک شدند و آنها را وادار به نصب بدافزار قبل از نفوذ به سیستم کردند. روش‌های هک جدیدتر، متنوع‌تر هم شده‌اند: تماس‌های ویدیویی جعلی، حساب‌های کاربری اجتماعی هک‌شده و بدافزارهایی که خود را در قالب نرم‌افزارهای جلسات جا می‌زنند.

قربانیان لینک‌های جلسات Calendly را که ظاهراً عادی به نظر می‌رسیدند، دریافت می‌کردند و پس از کلیک، به سمت نصب یک برنامه‌ی جلسه‌ی جعلی هدایت می‌شدند که به بدافزار اجازه می‌داد کیف پول‌ها، رمزهای عبور، عبارات بازیابی و سوابق ارتباطی را سرقت کند. تخمین زده می‌شود که از طریق چنین روش‌هایی، گروه‌های هکری کره شمالی بیش از ۳۰۰ میلیون دلار سرقت کرده‌اند.

در عین حال، مقصد نهایی وجوه سرقت شده نیز شایان ذکر است. استیون اظهار داشت که وجوه سرقت شده در نهایت تحت کنترل دولت کره شمالی قرار می‌گیرد. پولشویی توسط یک تیم تخصصی در داخل سازمان انجام می‌شود که میکسرهایی راه‌اندازی کرده و حساب‌هایی با هویت‌های جعلی در صرافی‌های متعدد افتتاح می‌کند و طی یک فرآیند کامل و پیچیده انجام می‌شود: وجوه بلافاصله پس از سرقت از طریق میکسرها پاکسازی می‌شوند، سپس با کوین‌های حریم خصوصی مبادله می‌شوند و متعاقباً در پروژه‌های مختلف DeFi منتقل می‌شوند و بارها بین صرافی‌ها و DeFi در گردش هستند.

کل فرآیند ظرف حدود ۳۰ روز تکمیل می‌شود و وجوه نهایی به کازینوهای جنوب شرقی آسیا، صرافی‌های کوچکی که نیازی به احراز هویت ندارند و ارائه‌دهندگان خدمات OTC در هنگ کنگ و جنوب شرقی آسیا ارسال می‌شود و در آنجا نقد می‌شوند.

بنابراین، در مواجهه با این مدل تهدید جدید، که در آن دشمنان نه تنها مهاجم هستند، بلکه مشارکت‌کننده نیز می‌باشند، صنعت کریپتو چگونه باید واکنش نشان دهد؟

استیون معتقد است که تیم‌های پروژه‌ای که حجم زیادی از بودجه را مدیریت می‌کنند، باید تیم‌های امنیتی حرفه‌ای استخدام کنند، موقعیت‌های امنیتی اختصاصی را در تیم ایجاد کنند و اطمینان حاصل کنند که همه اعضای اصلی به پروتکل‌های امنیتی کاملاً پایبند هستند. به ویژه مهم است که دستگاه‌های توسعه و دستگاه‌های مسئول امضاهای مالی کاملاً از نظر فیزیکی ایزوله باشند. او به طور خاص اشاره کرد که یک مسئله کلیدی در حادثه Drift لغو مکانیسم بافر قفل زمانی بود، «که هرگز و در هیچ زمانی نباید لغو شود».

با این حال، او همچنین اذعان کرد که اگر سازمان‌های اطلاعاتی کره شمالی واقعاً بخواهند عمیقاً نفوذ کنند، حتی بررسی‌های دقیق پیشینه نیز به سختی می‌تواند آنها را به طور کامل شناسایی کند. اما جذب تیم‌های امنیتی هنوز هم بسیار مهم است. او پیشنهاد داد که تیم‌های پروژه، تیم‌های آبی (سمت دفاعی در حمله و دفاع سایبری) را معرفی کنند، زیرا تیم‌های آبی نه تنها می‌توانند به افزایش امنیت دستگاه‌ها و رفتارها کمک کنند، بلکه می‌توانند به طور مداوم گره‌های کلیدی را رصد کنند و در صورت نوسانات غیرطبیعی، امکان تشخیص و پاسخ فوری به حملات را فراهم کنند. «تکیه صرف بر قابلیت‌های امنیتی تیم پروژه برای مقاومت در برابر این سطح از حمله کافی نیست.»

او افزود که قابلیت‌های جنگ سایبری کره شمالی در بین پنج کشور برتر جهان قرار دارد و پس از ایالات متحده، روسیه، چین و اسرائیل در رتبه دوم قرار دارد. در مواجهه با چنین دشمنانی، تکیه صرف بر ممیزی‌های کد به هیچ وجه کافی نیست.

نتیجه‌گیری

حادثه Drift ثابت می‌کند که بزرگترین تهدیدهای پیش روی DeFi امروز فقط شرایط بازار یا نقدینگی نیستند؛ از نظر امنیتی، فقط جلوگیری از آسیب‌پذیری‌های کد نیست، زیرا ممکن است جاسوسان درست در کنار شما پنهان شده باشند.

وقتی مهاجمان حاضرند شش ماه وقت صرف کنند و میلیون‌ها دلار برای ایجاد یک رابطه سرمایه‌گذاری کنند، ممیزی‌های سنتی کد و دفاع‌های امنیتی به سادگی ناکافی هستند. علاوه بر این، طبق تحقیقات موجود، این مجموعه تاکتیک‌ها ممکن است سال‌ها در پروژه‌های متعدد مورد استفاده قرار گرفته باشند، فقط هنوز کشف نشده‌اند.

اینکه آیا دیفای می‌تواند عدم تمرکز و باز بودن را حفظ کند یا خیر، دیگر مسئله اصلی نیست؛ سوال واقعی این است: آیا می‌تواند در عین باز ماندن، در برابر نفوذ آن دشمنانِ به خوبی سازماندهی شده مقاومت کند؟