در حدود ۱۶.۶۹ میلیارد دلار به هکهای رمزارزها اختصاص یافته است، که حدود ۴۰ درصد آن مربوط به سرقت کلیدهای خصوصی است، نه نواقص در بلاکچین یا قراردادهای هوشمند. کارشناسان امنیتی میگویند بیشتر این ضررها ناشی از شکستهای مدیریت کلید و ناکارآمدیهای عملیاتی در سیستمها، افراد و ابزارهای شخص ثالث است، نه نقص در رمزنگاری.
صنعت رو به سمت استفاده از محاسبات چندطرفه (MPC)، انتزاع حساب و پیادهسازی امنیت قویتر و درونی شده حرکت میکند تا اعتماد به کلیدهای خصوصی منفرد کاهش یافته و حملات را دشوارتر سازد.
در حوزه رمزارز، پروژههایی که روزانه میلیونها دلار به دلیل سوءاستفادهها و هکها از دست میدهند، تقریباً تبدیل به خبرهای روزمره شدهاند. با این حال، مشکل اصلی در رمزارزها تکنولوژی نیست بلکه کلید خصوصی آسیبپذیر است.
بر اساس دادههای DeFiLlama، پروژههای بلاکچین حدود ۱۶.۶۹ میلیارد دلار از طریق هک، نفوذ در دیفای و حملات به پلهای انتقال دارایی از دست دادهاند که حدود ۴۰٪ از آن مربوط به سرقت کلید خصوصی است.
در سادهترین تعاریف، کلیدهای خصوصی مانند رمزعبور هستند. در بانکداری آنلاین، زیرساختها و سیستمهای اصلی که واقعاً داراییهای کاربران را جابهجا و نگهداری میکنند، به ندرت هک میشوند، اما رمزعبورها لو رفته یا هک میشوند، و عاملان مخرب میتوانند به میلیونها دلار دسترسی پیدا کنند. این وضعیت در مورد کدهای بلاکچین و قراردادهای هوشمند هم صدق میکند که عموماً امن هستند، اما کلید خصوصی یا معادل آن اغلب آسیب میبیند.
«ما مشاهده میکنیم که موارد امنیت عملیاتی در حالی افزایش مییابد که سوءاستفادههای از قراردادهای هوشمند کاهش یافته است، که نشان میدهد مهاجمان معمولاً نقاط ضعف را هدف قرار میدهند. پروژههایی که سرمایهگذاریهای امنیتی خود را بر روی قراردادهای هوشمند متمرکز کردهاند، در قسمتهای حیاتی دیگر ضعیف باقی ماندهاند»، شرکت CertiK که یکی از رهبران در حوزه امنیت بلاکچین و وب3 است، به کویندسک گفت.
سرقتهای رمزارزها: کل روشهای سرقت بر اساس تکنیکها (DeFiLlama)
روشهای هک چگونه رخ میدهند
هر کیف پول رمزارز دو کلید اصلی دارد: یکی عمومی، مانند شماره حساب بانکی، که کاربران آن را برای دریافت پول به اشتراک میگذارند، و دیگری خصوصی، رشتهای از کاراکترها مانند پسورد بانکی کاربر، که مالکیت داراییها در کیف پول را اثبات میکند و به آنها اجازه خرج کردن را میدهد.
اما اینجا وضعیت پیچیدهتر میشود. اگر کاربر این کلید خصوصی را گم کند، هیچ گزینهای شبیه به بازنشانی رمزعبور در بانک ندارد، و هیچ بانکدار خصوصی برای کمک به دسترسی به داراییها وجود ندارد، و بخش شکایات هم ندارد. هر کسی که این کلید را در اختیار دارد، داراییها را در اختیار دارد، صرف نظر از فناوری یا کد پروتکل.
سرقتهای کلید خصوصی دو دسته است: حملات نیروی خام (brute-force) که مهاجمان با حدس زدن یا با حملات فراخوانی به کلید خصوصی دست مییابند، و روشهای نامشخص، که در آن کلید خصوصی لو میرود اما هیچکس مطمئن نیست چگونه این اتفاق افتاده است.
این دو روش حدود ۴۰٪ از کل ضررهای هک رمزارزها را شامل میشوند، که نشان میدهد بیشتر این سوءاستفادهها نه ناشی از زیرساخت بلاکچین بلکه از آسیبپذیریهای خارج از آن است.
فان لِفَن، بنیانگذار و مدیرعامل Cysic، با صراحت گفت: «هکهای کلید خصوصی شکست رمزنگاری نیست، بلکه شکست مدیریت کلید است که صنعت آن را اشتباها برچسبگذاری میکند. معادلات ریاضی منحنیاش غیرقابل شکست است.»
یکی دیگر از مشکلات کلید خصوصی مشابه مشکل پسورد است. اگر پسورد ساخته شود و هرگز استفاده نشود یا جایی ثبت نشود، احتمال دزدیده شدن آن توسط هکر بسیار کم است، اما زمانی که استفاده شود یا نوشته شود، احتمال لو رفتن یا سرقت، افزایش مییابد.
این منطق برای کلید خصوصی هم صدق میکند. هنگامی که این کلیدها استفاده، ذخیره یا به اشتراک گذاشته میشوند، خطر گم شدن یا دزدیده شدن آنها وجود دارد.
«مشکل این است که یک کلید عملیاتی باید فعال باشد تا قابلاستفاده باشد، بنابراین داخل سرویسهای جاری قرار میگیرد، در اطراف آن مخزنهای سری، وابستگیها، و انسانها قرار دارند، و این چیزی است که اغلب نفوذ میکند»، فان افزود.
به زبان ساده، کلید خصوصی که برای امضای تراکنشهای بلاکچین استفاده میشود، روی یک سرور قرار دارد که مدارک ابری، ابزارهای نرمافزاری و افراد مدیریتکننده آن در اطرافش هستند. این آشفتگی اطراف است که اغلب مشکلساز میشود.
وت کا و، همبنیانگذار و مدیرعامل Pharos، این مشکل را به طراحی اولیه سیستمهای بلاکچین نسبت میدهد.
«بیشتر زیرساختهای بلاکچین در اصل برای مدل تککاربر و تککلید ساخته شده است، یک کلید خصوصی تمام امور را کنترل میکند، و اگر این کلید گم یا دزدیده شود، تمام داراییها بلافاصله از دست میروند. این برخلاف اصول امنیتی است که صنعت مالی سنتی برای دههها از آن بهرهمند است: نیاز به تأیید چند فرد، جدا کردن وظایف، و چندین لایه دفاعی»، وو گفت.
در واقع، سیستمی که برای تحول در امور مالی جهانی طراحی شده است، از نظر امنیتی ضعیفتر از یک حساب ایمیل معمولی است.
وو افزود تعداد مسیرهای حمله به طور قابل توجهی افزایش یافته است: «سیستمهای ابری، ابزارهای شخص ثالث، حسابهای شبکههای اجتماعی، و افرادی که آنها را مدیریت میکنند، همگی میتوانند راهی برای حمله باشند».
هر دو و و فان نمونهای از حمله در فوریه ۲۰۲۵ به هک بایتبیایت را ذکر کردند. مهاجمان زنجیره تامین نرمافزار ابزار توسعهدهنده شخص ثالثی را نفوذ کردند و کد مخرب را در رابط وب کیف پول وارد کردند و مدیران ارشد را فاش نکردند که ۱.۵ میلیارد دلار اتریوم را از دست دادند.
راهحل
صنعت اکنون در حال حرکت است تا به آسیبپذیریهای کلید خصوصی رسیدگی کند، هرچند این روند یکنواخت نیست، ووش میگوید.
«در بسیاری از جبههها پیشرفتهایی حاصل شده است: کیفپولهای MPC، انتزاع حساب با بازیابی اجتماعی، ورود با کلید عبور، استفاده از کیفپولهای سختافزاری، و استانداردهای مدیریت کلید مناسب»، او گفت. «مشکل این است که اغلب این امکانات به عنوان امکانات اختیاری اضافه میشوند، به جای این که از ابتدا در سطح پروتکل ساخته شوند. بیشتر زنجیرهها هنوز امنیت را ویژگیای میدانند که باید به آن چسبانده شود، نه یک اصل طراحی اساسی.»
این همان چیزی است که فان هم در پاسخ خود به عنوان راهحلی که در حال گسترش است، ذکر کرد: قطع وابستگی به یک کلید واحد.
محاسبات چند طرفه (MPC) و امضای سطوحی، فرآیند امضا را تقسیم میکنند، بنابراین کلید کامل در هیچ نقطهای به طور همزمان وجود ندارد، و در صورت نفوذ، چیزی برای سرقت در این فرآیند نیست.
انتزاع حساب، فناوری که به کاربران اجازه میدهد از قراردادهای هوشمند به عنوان حسابهای خود استفاده کنند و قوانین خاص خود را تنظیم کنند، لایهای دیگر اضافه میکند: محدودیتهای خرج، فهرست آدرسهای تأیید شده، و نگهبانان پشتیبان که درون کیف پول ساخته شده است، بنابراین حتی یک امضاکننده مخرب نمیتواند از حساب بیرون بکشد.
«راه جلو برای صنعت، این است که امنیت را به عنوان یک وظیفه روزمره، مستمر، تلقی کند، نه فقط یک ارزیابی یکباره»، ووش گفت.
«یعنی ساخت امنیت در کل چرخه عمر، توسعه، استقرار و عملیات. این یعنی پذیرش اینکه لایه انسانی، فرهنگ امنیت، آگاهی و آموزش، اغلب اولین و ضعیفترین خط دفاع است»، ووش افزود.
