تصور کنید یک خودروی بسیار ایمن و گرانقیمت خریدهاید. بدنه این خودرو ضدگلوله است، قفلهایش با اثر انگشت باز میشوند و سیستم دزدگیر ماهوارهای دارد. شما احساس امنیت کامل میکنید. اما یک روز، در حالی که در اتوبان با سرعت حرکت میکنید، ترمز خودرو کار نمیکند و تصادف میکنید. بعداً مشخص میشود که مشکل از خودِ کارخانه خودروسازی نبوده، بلکه کارخانهای که لنت ترمز را تأمین میکرده، از مواد فاسد و بیکیفیت استفاده کرده است. دزدها به گاراژ شما حمله نکردند؛ آنها ماهها قبل، قطعهای را در خط تولید آلوده کرده بودند.
این دقیقاً همان اتفاقی است که در «حمله زنجیره تأمین» (Supply Chain Attack) در دنیای ارزهای دیجیتال رخ میدهد. ما همیشه نگرانیم که کیف پولمان هک نشود یا صرافی کلاهبرداری نکند، اما گاهی اوقات خطر از جایی میآید که اصلاً نمیبینیم: از ابزارها، کدها و نرمافزارهایی که خودِ سازندگان پروژههای کریپتویی از آنها استفاده میکنند.
در این مقاله، میخواهیم به زبانی بسیار ساده و با مثالهای روزمره، یکی از پیچیدهترین و خطرناکترین روشهای هک در سالهای ۲۰۲۴ و ۲۰۲۵ را بررسی کنیم. اگر فکر میکنید با داشتن یک کیف پول سختافزاری یا استفاده از صرافیهای معروف، امنیت شما ۱۰۰٪ تضمین شده است، این مقاله دیدگاه شما را برای همیشه تغییر خواهد داد.
آنچه باید بدانید:
- در حمله زنجیره تأمین، هکر به جای حمله مستقیم به قلعه (پروژه اصلی)، آب ورودی به قلعه (کتابخانههای نرمافزاری و ابزارهای جانبی) را مسموم میکند تا تمام ساکنان را درگیر کند.
- پروژههای بلاکچینی مانند خانههای لگویی هستند که از هزاران قطعه کد آماده (Dependencies) ساخته شدهاند؛ اگر یکی از این قطعات که توسط شخص دیگری نوشته شده آلوده باشد، کل پروژه امنیتی فرو میریزد.
- ماجرای هک Ledger Connect Kit در دسامبر ۲۰۲۳، زنگ خطر بزرگی بود که نشان داد حتی معتبرترین شرکتهای امنیت کریپتو هم میتوانند قربانی یک قطعه کد کوچک و آلوده شوند و سرمایه کاربران را به خطر بیندازند.
حمله زنجیره تأمین چیست و چرا در کریپتو اهمیت دارد؟
برای درک این موضوع، بیایید به مثال رستوران فکر کنیم. شما به رستوران مورد علاقهتان میروید چون به سرآشپز اعتماد دارید. اما سرآشپز برای پخت غذا، رب گوجهفرنگی را از بازار میخرد. اگر کارخانه رب گوجهفرنگی سمی تولید کرده باشد، غذای سرآشپز هم سمی میشود، حتی اگر خودِ سرآشپز بیگناه باشد.
در دنیای نرمافزار و کریپتو:
- رستوران: پروژه کریپتویی (مثلاً صرافی یونیسواپ یا کیف پول متامسک).
- سرآشپز: تیم توسعهدهنده پروژه.
- رب گوجهفرنگی: کتابخانههای کد (Libraries) و وابستگیها (Dependencies).
برنامهنویسان برای اینکه چرخ را از اول اختراع نکنند، از کدهای آمادهای که دیگران نوشتهاند استفاده میکنند (مثلاً کدی برای وصل شدن به کیف پول، یا کدی برای نمایش نمودار قیمت). هکرها به جای اینکه ماهها وقت بگذارند تا سیستم امنیتیِ پیچیدهِ یک صرافی را هک کنند، سراغ آن کد آماده کوچک میروند، آن را آلوده میکنند و منتظر میمانند تا صرافی (و صدها پروژه دیگر) از آن استفاده کنند. به محض استفاده، درِ پشتی (Backdoor) برای هکر باز میشود.
چرا در کریپتو فاجعهبار است؟
در نرمافزارهای معمولی (مثل اینستاگرام)، اگر باگی وجود داشته باشد، شاید عکسهایتان لو برود. اما در کریپتو، ما با پول نقد دیجیتال سر و کار داریم. یک حمله زنجیره تأمین موفق، میتواند در عرض چند دقیقه میلیونها دلار را از هزاران کیف پول به سرقت ببرد، بدون اینکه کاربران اشتباه خاصی کرده باشند.
نمونههای واقعی حملات زنجیره تأمین در پروژههای رمزارز
برای اینکه عمق خطر را حس کنید، بیایید دو پرونده واقعی را مرور کنیم که در زمان خود، قلب بازار را لرزاندند.
کابوس لجر (Ledger Connect Kit) – دسامبر ۲۰۲۳
این یکی از ترسناکترین لحظات تاریخ دیفای (DeFi) بود. شرکت Ledger سازنده امنترین کیف پولهای سختافزاری دنیاست.
- چه اتفاقی افتاد؟ هکرها توانستند با فیشینگ یکی از کارمندان سابق لجر، به کدهای یک ابزار کوچک به نام Connect Kit دسترسی پیدا کنند. این ابزار به سایتها کمک میکرد تا دکمه Connect Wallet را نمایش دهند.
- نتیجه: هکر کد مخربی را تزریق کرد که هر کس در سایتهای معتبر (مثل SushiSwap یا Revoke.cash) روی دکمه اتصال کلیک میکرد، به جای وصل شدن، داراییاش تخلیه میشد.
- درس عبرت: کاربران فکر میکردند در سایت امنِ سوشیسواپ هستند، اما دکمهای که میزدند، ساخته دست هکر بود. این یعنی شما حتی اگر در سایت درست باشید، ممکن است ابزارهای آن سایت آلوده باشند.
هک کیف پول اسلوپ (Slope Wallet) – آگوست ۲۰۲۲
هزاران کاربر شبکه سولانا (Solana) ناگهان دیدند کیف پولهایشان خالی شده است.
- مشکل: توسعهدهندگان کیف پول Slope از یک سرویس گزارش خطا (Sentry) استفاده میکردند تا باگهای نرمافزار را پیدا کنند. اما تنظیمات این سرویس طوری بود که به اشتباه عبارات بازیابی (Seed Phrase) کاربران را هم به عنوان گزارش به سرور میفرستاد.
- زنجیره تأمین: اینجا ابزار گزارشگیری (Sentry) آلوده نبود، اما استفاده غلط از یک ابزار شخص ثالث در زنجیره توسعه، باعث شد اطلاعات محرمانه از محیط امن خارج شود.
چگونه وابستگیها و قراردادهای هوشمند نقطه ضعف میشوند؟
دنیای کریپتو بر پایه متنباز (Open Source) بودن بنا شده است. این یعنی همه کدها در دسترس هستند. این موضوع هم خوب است (شفافیت) و هم بد (دسترسی هکرها).
تلهای به نام
NPM
بیشتر پروژههای وب و کریپتو با زبان جاوااسکریپت نوشته میشوند و از پکیجهایی در مخزن NPM استفاده میکنند.
- ترفند هکر: هکر یک پکیج مفید میسازد (مثلاً پکیجی که رنگ متن را عوض میکند). هزاران برنامهنویس از آن استفاده میکنند. بعد از مدتی، هکر یک آپدیت میدهد که حاوی کد مخرب است. تمام پروژههایی که اتوماتیک آپدیت میشوند، آلوده میشوند.
قراردادهای هوشمند و لگوهای پول (Money Legos)
در دیفای (DeFi)، پروژهها مثل لگو روی هم سوار میشوند. یک پلتفرم وامدهی ممکن است از قیمتهای صرافی یونیسواپ استفاده کند. اگر هکر بتواند قرارداد هوشمند یونیسواپ را دستکاری کند (یا اوراکل قیمت را فریب دهد)، پلتفرم وامدهی هم که به آن وابسته است، ورشکست میشود. این وابستگی متقابل، ریسک سیستماتیک ایجاد میکند. یعنی سقوط یک مهره، کل دومینو را میاندازد.
نقش تیم توسعه و تأمینکنندگان خارجی در امنیت پروژهها
چرا توسعهدهندگان همه چیز را خودشان از صفر نمینویسند تا امن باشد؟ پاسخ ساده است: زمان و هزینه. نوشتن تمام کدها از صفر سالها طول میکشد. بنابراین، استفاده از کدهای خارجی (Third-party) اجتنابناپذیر است. اما مسئولیت تیم توسعه در اینجا چیست؟
بررسی کد (Code Audit)
تیمهای حرفهای نباید کورکورانه آپدیتها را قبول کنند. آنها باید هر کدی را که وارد پروژه میشود، بررسی کنند. در ماجرای لجر، اگر سیستمهای امنیتی سختگیرانهتری برای انتشار آپدیت وجود داشت، هکر نمیتوانست کد آلوده را منتشر کند.
قفل کردن نسخهها (Version Pinning)
تیمهای امن، نسخه کتابخانهها را قفل میکنند. یعنی میگویند: «ما فقط از نسخه ۱.۲ استفاده میکنیم.» اگر هکر نسخه ۱.۳ آلوده را منتشر کرد، سیستم به طور خودکار آپدیت نمیشود تا زمانی که تیم آن را بررسی کند.
نشانههای هشداردهنده یک حمله زنجیرهای در کریپتو
هکرها باهوش هستند، اما بینقص نیستند. معمولاً ردپاهایی به جا میگذارند که اگر هوشیار باشید، میتوانید آنها را ببینید.
درخواستهای عجیب کیف پول (Pop-up غیرعادی)
وقتی میخواهید کیف پولتان را به یک سایت وصل کنید (Connect)، معمولاً فقط یک پیام ساده میآید. اما اگر ناگهان پیامی دیدید که میگوید:
- «برای تایید هویت، باید تراکنش امضا کنید» (Sign Transaction).
- «دسترسی نامحدود به USDT بدهید» (Approve Unlimited USDT).
- یا بدتر از همه: «عبارت بازیابی (Seed Phrase) را وارد کنید.»
اینها نکات نگرانکننده بزرگی هستند. در حمله Ledger، دقیقاً همین اتفاق افتاد؛ کاربران فکر میکردند فقط دارند وصل میشوند، اما کدی که هکر تزریق کرده بود، دستور تخلیه دارایی را برای امضا فرستاده بود.
تغییر ظاهر یا کندی سایت
اگر سایتی که همیشه با آن کار میکردید (مثلاً پنکیکسواپ) ناگهان فونتهایش عوض شد، یا دکمهها در جای همیشگی نبودند، ممکن است نسخه فرانت-اند (Front-end) آن هک شده باشد.
ریسک کاربران صرافیها و کیف پولها در حملات زنجیرهای
آیا اگر پولمان را در صرافی نگه داریم امنتر است؟ یا کیف پول شخصی؟
کیف پولهای شخصی (DeFi Users)
شما در خط مقدم خطر هستید. چون مستقیماً با کدهای آلوده تعامل میکنید. اگر روی یک دکمه آلوده کلیک کنید و در متامسک تایید را بزنید، پولتان میرود و هیچ راه برگشتی نیست.
کاربران صرافیها (CEX Users)
شما مستقیماً با کدها درگیر نیستید. تیم امنیتی صرافی مسئول بررسی کدهاست.
- مزیت: اگر صرافی هک شود، معمولاً صندوق بیمه دارد (مثل بایننس) یا مسئولیت را قبول میکند.
- ریطر: اگر حمله زنجیره تأمین به کیف پولهای داغ (Hot Wallets) صرافی نفوذ کند، ممکن است کل نقدینگی صرافی تخلیه شود و صرافی ورشکست شود. در این صورت، شما همهچیز را میبازید.
راهکارهای عملی برای محافظت از سرمایه دیجیتال
این ۴ قانون را روی کاغذ بنویسید و کنار مانیتور خود بچسبانید:
استراتژی «کیف پول سوختنی»
هرگز، تکرار میکنم هرگز کیف پول اصلی خود را که تمام پساندازتان در آن است، به هیچ سایتی وصل نکنید.
- راهکار: یک کیف پول جدید بسازید (مثلاً در مرورگر کروم). مقدار کمی ارز (فقط برای انجام کار امروز) به آن منتقل کنید. آن را به سایت وصل کنید. اگر سایت آلوده بود و هک شدید، فقط همان مبلغ کم میسوزد و کیف پول اصلی (Vault) شما در امان است.
بوکمارک کردن سایتهای رسمی
هکرها با خرید تبلیغات گوگل (Google Ads)، لینکهای آلوده را بالاتر از لینک اصلی نمایش میدهند.
- راهکار: آدرس سایتهای صرافی و دیفای را تایپ نکنید. یک بار آدرس درست را پیدا کنید (از توییتر رسمی یا CoinGecko) و آن را بوکمارک (Bookmark) کنید. همیشه از بوکمارک وارد شوید.
استفاده از افزونههای امنیتی
ابزارهایی مثل Wallet Guard یا Pocket Universe را نصب کنید.
- کارکرد: قبل از اینکه تراکنشی را در متامسک تایید کنید، این ابزارها آن را شبیهسازی میکنند و به شما میگویند: «هشدار! این تراکنش تمام موجودی تتر شما را خالی میکند.» این مثل یک لایه محافظ اضافی عمل میکند.
لغو دسترسیها (Revoke Cash)
بعد از اینکه کارتان با یک سایت تمام شد، دسترسی آن سایت به کیف پولتان را قطع کنید.
- ابزار: به سایت Revoke.cash بروید و تمام مجوزهای قدیمی (Approvals) را لغو کنید. این کار درِ پشتی را به روی هکرهای احتمالی میبندد.
چطور با آگاهی، فرصتهای سودده را دنبال کنیم بدون قربانی شدن؟
آیا باید از ترس هک، دور دیفای و ایردراپها را خط بکشیم؟ خیر. فقط باید هوشمندانه رفتار کنید.
قانون ۱۰ دقیقه صبر
وقتی پروژه جدیدی (مثلاً یک ایردراپ یا NFT) معرفی میشود، هیجان بالاست. هکرها عاشق این لحظه هستند.
- استراتژی: ۱۰ دقیقه صبر کنید. توییتر و دیسکورد پروژه را چک کنید. اگر مشکلی باشد، کاربران دیگر سریعاً گزارش میدهند. عجله کردن در کریپتو، عامل اصلی باخت است.
بررسی آدیت (Audit) و باگ بانتی (Bug Bounty)
پروژههای معتبر، کدهایشان را توسط شرکتهای امنیتی (مثل CertiK) بازرسی میکنند و جایزه (Bounty) برای هکرهایی میگذارند که باگ پیدا کنند. اگر پروژهای هیچ آدیتی ندارد، ورود به آن مثل راه رفتن در میدان مین است.
جمعبندی
حمله زنجیره تأمین، ترسناک است چون نامرئی است. شما نمیبینید که لنت ترمز فاسد است، تا زمانی که ترمز میگیرید. اما در دنیای کریپتو، شما میتوانید با ابزارهایی مثل کیف پول سختافزاری، کیف پولهای سوختنی و افزونههای امنیتی، ترمز اضطراری خودتان را داشته باشید.
به یاد داشته باشید: در این بازار، پارانوید بودن (بدبینی) یک بیماری نیست، بلکه یک مهارت بقاست. هر کلیک، هر تایید و هر امضا، یک تصمیم مالی است. آن را جدی بگیرید.
