هک صرافی‌های ارز دیجیتال: بزرگترین سرقت‌ها و نحوه ایمن ماندن

ماشین فرار را فراموش کنید. سودآورترین سرقت‌های روی زمین اکنون با یک لپ‌تاپ، یک کارمند فریب‌خورده و یک آدرس کیف پول انجام می‌شوند که هیچ‌کس نمی‌تواند آن را پس بگیرد. هک صرافی‌های ارز دیجیتال بی‌سروصدا به سودآورترین جرم آنلاین تبدیل شده‌اند و این خونریزی کاهش نیافته است. تنها در سال ۲۰۲۵، سارقان تقریباً ۳.۴ میلیارد دلار از پلتفرم‌های ارز دیجیتال سرقت کردند که افزایشی ۵۵ درصدی در یک سال را نشان می‌دهد و یک سرقت تقریباً نیمی از آن را بلعید. سکه‌ها را در یک صرافی نگه دارید و این شرط‌بندی‌ای است که انجام می‌دهید، چه صفحه ثبت نام آن را نوشته باشد یا نه. بخش اطمینان‌بخش: تقریباً همه اینها به همان لیست کوتاه اشتباهات برمی‌گردد. از آنها اجتناب کنید و از بیشتر خطرها اجتناب کنید.

چرا صرافی‌های کریپتو اهداف وسوسه‌انگیزی هستند؟

به این فکر کنید که یک صرافی واقعاً چیست. یک شرکت واحد است که میلیاردها دلار پول دیگران را در اختیار دارد، که بخش عمده‌ای از آن در کیف پول‌های «داغ» متصل به اینترنت قرار دارد تا مشتریان بتوانند ساعت ۳ بامداد معامله کنند، پشت این کیف پول‌ها چند ده کارمند با کلیدها، دسترسی‌ها و نقاط ضعف انسانی که از ویژگی‌های انسان بودن است، نشسته‌اند. هیچ صندوق بانکی روی زمین چنین ارزشی را متمرکز نمی‌کند.

این یک بده بستان ناخوشایند در مرکز ارزهای دیجیتال است. همان تمرکزی که استفاده از یک صرافی ارز دیجیتال را آسان می‌کند، آن را به یک هانی پات تبدیل می‌کند. شما یک اپلیکیشن کاربرپسند، معاملات فوری و یک دکمه تنظیم مجدد رمز عبور دریافت می‌کنید. هکر به جای ده میلیون هدف، یک هدف را به دست می‌آورد. اگر از یک بانک دزدی کنید، هر چه در کشو دارید را به دست می‌آورید؛ اگر از یک صرافی دزدی کنید، می‌توانید همه چیز را یکجا به دست آورید، سپس آن را به جایی منتقل کنید که هیچ دادگاهی به آن دسترسی نداشته باشد.

درک دو نوع کیف پول رمزنگاری که یک صرافی اداره می‌کند، مفید است. کیف پول‌های سرد آفلاین هستند و دسترسی به آنها از راه دور بسیار دشوار است، اما دسترسی به آنها کند است. کیف پول‌های گرم آنلاین می‌مانند تا برداشت‌ها فوراً انجام شود، به همین دلیل است که آنها بخشی هستند که از موجودی آنها کاسته می‌شود. هر صرافی این دو را متعادل می‌کند و هر بار که صرافی بیش از حد به سمت راحتی متمایل می‌شود، برای هر کسی که وارد می‌شود، پول بیشتری باقی می‌ماند. مجموع سالانه نشان می‌دهد که این موجودی به کجا رسیده است: طبق گفته Chainalysis ، سارقان حدود ۲.۲ میلیارد دلار در سال ۲۰۲۴ و ۳.۴ میلیارد دلار در سال ۲۰۲۵ سرقت کرده‌اند و این رقم همچنان در حال افزایش است.

بزرگترین هک‌های صرافی‌های ارز دیجیتال، رتبه‌بندی شده

این لیست فقط یک رسوایی نیست. آن را از بالا تا پایین بخوانید تا ببینید ماهیت حمله به طور کلی تغییر می‌کند، از کیف پول‌های داغِ بی‌سروپا که در معرض خطر قرار گرفته‌اند تا نفوذ عوامل دولتی به زنجیره تأمین نرم‌افزار. رتبه‌بندی، خود داستان است.

بای‌بیت ۲۰۲۵: رکورد ۱.۵ میلیارد دلاری

در فوریه ۲۰۲۵، مهاجمان تقریباً ۱.۵ میلیارد دلار اتریوم (اتر) را در یک بعد از ظهر از Bybit خارج کردند، که طبق گزارش CNBC ، بزرگترین هک ارز دیجیتال ثبت شده با اختلاف زیاد بود. این بخشی است که باید همه را نگران کند: آنها هرگز به Bybit "نفوذ" نکردند. آنها یک دستگاه توسعه‌دهنده را در Safe{Wallet}، ابزار امضای شخص ثالثی که Bybit از آن استفاده می‌کرد، به خطر انداختند و کد مخرب را وارد رابط کاربری کردند، به طوری که افرادی که انتقال را تأیید می‌کردند، یک تراکنش عادی را مشاهده می‌کردند در حالی که یک تراکنش مخرب را تأیید می‌کردند. گروه لازاروس کره شمالی پشت این ماجرا بود. Bybit، به اعتبار خود، ضررهای مشتریان را از ذخایر خود پوشش داد.

چرا این مورد فراتر از اندازه‌اش اهمیت دارد: این یک تغییر دسته بندی را نشان داد. برای یک دهه، توصیه استاندارد به صرافی‌ها این بود که "از کلیدهای خود محافظت کنید و بیشتر وجوه را در فضای ذخیره‌سازی سرد نگه دارید"، و Bybit دقیقاً همین کار را انجام داد. مهاجمان به سادگی به سمت بالا حرکت کردند و نرم‌افزاری را که صرافی به آن اعتماد داشت، به جای خود صرافی، هدف قرار دادند. دفاع از این مشکل بسیار دشوارتر است، زیرا امنیت شما اکنون به اندازه امنیت هر فروشنده و ابزاری در زنجیره شما قوی است. هر پلتفرم اصلی ماه‌های بعد را صرف حسابرسی نرم‌افزاری کرد که هرگز به فکر زیر سوال بردن آن نیفتاده بودند.

Mt. Gox، Coincheck و فجایع اولیه

هک‌های قدیمی‌تر صرافی‌های ارز دیجیتال، خام‌تر و به همان اندازه ویرانگر بودند. Mt. Gox را در نظر بگیرید. زمانی بزرگترین صرافی ارز دیجیتال روی کره زمین بود که بیشتر معاملات بیت کوین جهان را مدیریت می‌کرد، اما حدود ۸۵۰،۰۰۰ بیت کوین را از دست داد و تا سال ۲۰۱۴ فروپاشید. این صنعت هنوز در حال پاکسازی آن آشفتگی است. Coincheck در سال ۲۰۱۸ به مبلغ حدود ۵۳۰ میلیون دلار NEM هک شد و به احمقانه‌ترین دلایل: توکن‌ها را در یک کیف پول گرم و بدون محافظت چند امضایی رها کرده بود. FTX مورد عجیب و غریبی است. مرگ آن در سال ۲۰۲۲ بیشتر کلاهبرداری بود، نه هک، اما درست همان شبی که اعلام ورشکستگی کرد، کسی تقریباً ۴۰۰ میلیون دلار از آن خارج کرد. مهاجم خارجی یا کار داخلی؟ مردم هنوز در مورد آن بحث می‌کنند. جدول زیر بدترین موارد این دسته را نشان می‌دهد.

هک صرافی‌های ارز دیجیتال چگونه اتفاق می‌افتد؟

تصویر فیلم یک نابغه که در یک اتاق تاریک رمزگذاری را می‌شکند را فراموش کنید. رمزنگاری محافظت‌شده از ارزهای دیجیتال تقریباً هرگز خراب نمی‌شود. آنچه می‌شکند همه چیز اطراف آن است: کلیدها، کارکنان و نرم‌افزاری که به آن اعتماد دارند. اصطلاحات تخصصی را کنار بگذارید و تقریباً هر یک از این هک‌های ارزهای دیجیتال به یکی از این دو شکست ختم می‌شود.

کلیدهای دزدیده شده و افشای کیف پول داغ

هر کسی که کلید خصوصی را در اختیار داشته باشد، سکه‌ها را کنترل می‌کند. بنابراین، برای سرقت ارزهای دیجیتال، مهاجمان مستقیماً به سراغ کلیدها می‌روند، نه محاسبات ریاضی که از آنها محافظت می‌کند. ۴۳.۸٪ از کل وجوه سرقت شده در سال ۲۰۲۴ مربوط به سرقت کلید خصوصی بوده است که با اختلاف، بزرگترین دسته از این سرقت‌ها محسوب می‌شود. صرافی‌هایی که بیش از حد در کیف پول‌های داغ باقی می‌مانند یا کلیدها را با بی‌دقتی ذخیره می‌کنند، به محض اینکه یک دستگاه هک شود، کل جایزه را به دست سارقان می‌دهند.

مهندسی اجتماعی و تغییر زنجیره تأمین

عامل جدیدتر و ترسناک‌تر، افراد هستند. عوامل کره شمالی در لینکدین خود را به عنوان استخدام‌کننده معرفی کرده‌اند تا بدافزار را روی رایانه یک کارمند نصب کنند - یک آسیب‌پذیری مهندسی اجتماعی که سرقت ۳۰۵ میلیون دلاری بیت‌کوین DMM از آن آغاز شد. آنها کد را به ابزارهایی که صرافی‌ها به آنها متکی هستند، مانند Bybit، تزریق کرده‌اند. آنها از کلیدهای API فاش‌شده سوءاستفاده می‌کنند، کوکی‌های جلسه را می‌ربایند و به اندازه کافی متقاعدکننده خود را به عنوان کارمند جا می‌زنند تا یک همکار را برای تأیید انتقال متقاعد کنند. صداها و ویدیوهای دیپ‌فیک اکنون در این طرح‌ها نیز ظاهر می‌شوند، که این امر توصیه قدیمی "فقط مطمئن شوید که واقعاً رئیس شماست" را بسیار لرزان‌تر از آنچه به نظر می‌رسد، می‌کند. من مدام به این نکته برمی‌گردم زیرا این صنعت هنوز "رمزگذاری در سطح نظامی" را به بازار عرضه می‌کند، در حالی که در واقعی که باز می‌شود، یک مهندس خسته است که روی یک پیشنهاد شغلی جعلی کلیک می‌کند. محاسبات ضد گلوله است. افرادی که از آن استفاده می‌کنند، ضد گلوله نیستند و مهاجمان سال‌ها پیش این موضوع را کشف کردند.

کره شمالی: عوامل پشت پرده بزرگترین سرقت‌ها

اگر یک خط ارتباطی در هک‌های صرافی‌های ارز دیجیتال مدرن وجود داشته باشد، آن این است: یک دولت-ملت به تنهایی بخش عمده‌ای از بار سنگین را به دوش می‌کشد. طبق گزارش Chainalysis، واحدهای هک کره شمالی، از جمله رئیس گروه لازاروس، تنها در سال ۲۰۲۵ حدود ۲.۰۲ میلیارد دلار سرقت کردند که حدود ۷۶ درصد از کل وجوه از دست رفته در اثر نقض سرویس در آن سال است. در مجموع، محققان TRM Labs مجموع کل سرقت‌های این رژیم را بیش از ۷.۳ میلیارد دلار تخمین زده‌اند.

چیزی که آنها را متفاوت می‌کند، صبر و مقیاس آنهاست. اینها حملات ناگهانی و سر و صدا نیستند. آنها حملات کمتری انجام می‌دهند، اما حملات بسیار بزرگتری انجام می‌دهند - ماه‌ها در داخل یک هدف قبل از حرکت، پولشویی وجوه دزدیده شده برای تأمین مالی برنامه‌های تسلیحاتی یک کشور تحریم شده. سرعت آنها نیز کاهش نیافته است: TRM Labs بیش از ۷۷۰ میلیون دلار سرقت ارز دیجیتال را تنها در چهار ماه اول سال ۲۰۲۶ در سراسر صنعت ثبت کرده است که کره شمالی مسئول حدود ۷۶٪ از آن از طریق تنها دو حمله بوده است. این کل مشکل را از نو شکل می‌دهد. بزرگترین سرقت‌های صرافی اکنون جرایم ارز دیجیتال دولتی هستند، نه فرصت‌طلبی‌های انفرادی، و شما در مقابل دولتی با حقوق بگیر قرار دارید. این مبارزه‌ای است که صرافی‌های انفرادی مدام در آن شکست می‌خورند.

ارزهای دیجیتال دزدیده شده کجا می‌روند و چرا به ندرت آنها را پس می‌گیرید؟

مردم به یک داستان تسلی‌بخش چسبیده‌اند: مطمئناً هکرها دستگیر می‌شوند و پول به خانه برمی‌گردد. تقریباً هرگز این اتفاق نمی‌افتد. ببینید به محض اینکه وجوه جابجا می‌شوند چه اتفاقی می‌افتد. دزدها آنها را از طریق میکسرها و پل‌های بین زنجیره‌ای ، تقسیم و تغییر شکل می‌دهند و ظرف یک ساعت ردپایشان آشکار می‌شود.

چند استثنا وجود دارد و آنها فقط قانون را ثابت می‌کنند. یک هکر شبکه پلی در سال ۲۰۲۱، ۶۱۱ میلیون دلار را از بین برد و سپس تقریباً تمام آن را به دلایلی که هیچ کس تا به حال به طور کامل توضیح نداده است، پس داد. کوکوین بیشتر ضررهای سال ۲۰۲۰ خود را با مسدود کردن سریع و بیمه جبران کرد. بای‌بیت به تازگی به کاربران خود بازپرداخت کرده است. اینها خوش شانس هستند. طلبکاران Mt. Gox؟ هنوز بیش از یک دهه منتظرند، با این مهلت که اکنون به اکتبر ۲۰۲۶ موکول شده و ده‌ها هزار بیت کوین بازگردانده نشده است. طنز تلخ این است که همه چیز در یک بلاکچین عمومی اتفاق می‌افتد، بنابراین تحلیلگران می‌توانند شاهد از بین رفتن وجوه دزدیده شده در زمان واقعی باشند و هیچ کاری برای متوقف کردن آنها انجام ندهند. با پول دزدیده شده مانند پول از دست رفته رفتار کنید.

FTX یک جای زخم مفید از خود به جا گذاشت. این اتفاق، صنعت را به سمت اثبات ذخایر سوق داد، یک روش رمزنگاری عمومی برای یک صرافی تا نشان دهد که واقعاً کوین‌هایی را که ادعا می‌کند، در اختیار دارد. آیا این مانع هک می‌شود؟ خیر. آیا این موضوع، ورشکستگی بی‌سروصدایی را که FTX ماه‌ها پنهان کرده بود، آشکار می‌کند؟ تقریباً بله. بنابراین وقتی یک صرافی چنین چیزی را منتشر نمی‌کند، خودتان در مورد دلیل آن نتیجه‌گیری کنید.

چگونه از ارزهای دیجیتال خود در برابر هک صرافی‌ها محافظت کنیم؟

این بخشی است که لیست‌های نفس‌گیر «بزرگترین هک‌ها» معمولاً از قلم می‌افتند. هک‌های صرافی‌های ارز دیجیتال به ندرت کاربران عادی را مستقیماً هدف قرار می‌دهند، اما شما هنوز هم می‌توانید خود را به یک هدف بسیار دشوارتر تبدیل کنید. بیشتر این هک‌ها ساده هستند و یک بعدازظهر طول می‌کشند.

خودنگهداری و نگهداری در سردخانه

قدیمی‌ترین قانون در دنیای ارزهای دیجیتال هنوز پابرجاست: نه کلیدهایتان، نه سکه‌هایتان. هر چیزی را که به جای معامله‌ی فعال، در اختیار دارید، از صرافی به یک کیف پول سخت‌افزاری یا سایر حافظه‌های ذخیره‌سازی سرد منتقل کنید که هرگز به اینترنت متصل نباشد. عبارت بازیابی را روی کاغذ بنویسید، آن را در جایی امن ذخیره کنید و هرگز آن را در وب‌سایت یا چت تایپ نکنید. یک کیف پول سخت‌افزاری که ۸۰ دلار قیمت دارد، شما را از تقریباً هر حمله‌ای که در بالا توضیح داده شد محافظت می‌کند - زیرا کلیدهای شما به سادگی جایی نیستند که هکرها به دنبال آن هستند.

قفل کردن حساب صرافی شما

برای وجوهی که در صرافی نگه می‌دارید، حساب را ایمن کنید. از یک برنامه احراز هویت دو مرحله‌ای استفاده کنید، هرگز از کدهای پیامکی استفاده نکنید، که به طور پیش پا افتاده‌ای از طریق تعویض سیم‌کارت دزدیده می‌شوند. یک لیست آدرس مجاز برای برداشت تنظیم کنید تا وجوه فقط بتوانند به کیف پول‌هایی که از قبل تأیید کرده‌اید، واریز شوند. از یک رمز عبور منحصر به فرد و طولانی استفاده کنید که در هیچ جای دیگری وجود ندارد. آدرس اینترنتی اصلی صرافی را نشانه‌گذاری کنید و فقط از طریق آن نشانه‌گذاری وارد شوید، زیرا ارزان‌ترین راه برای از دست دادن همه چیز، تایپ کردن رمز عبور خود در یک سایت جعلی قانع‌کننده با یک تب بالاتر است. با هرگونه ایمیل یا پیامک غیرمنتظره "تأیید حساب کاربری" به عنوان یک دشمن رفتار کنید تا زمانی که خلاف آن ثابت شود. و یک نظم ساده را رعایت کنید: در هیچ صرافی بیش از آنچه که آماده از دست دادن آن هستید، ذخیره نکنید.

انتخاب یک صرافی ارز دیجیتال امن‌تر

هر مبادله‌ای ریسک یکسانی ندارد و بازماندگان عادت‌هایی را به اشتراک می‌گذارند که ارزش بررسی قبل از واریز حتی یک سنت را دارند. یک پلتفرم جدی، بخش عمده‌ای از دارایی‌های دیجیتال را در فضای ذخیره‌سازی سرد نگه می‌دارد، اثبات ذخایر را منتشر می‌کند تا بتوانید وجود سکه‌ها را تأیید کنید و یک صندوق بیمه برای موارد اضطراری راه‌اندازی می‌کند. به عنوان مثال، بایننس یک صندوق SAFU به ارزش یک میلیارد دلار دارد که اخیراً به ۱۵۰۰۰ بیت‌کوین تبدیل شده است و به عنوان پشتوانه مشتری در نظر گرفته شده است.

صلاحیت قضایی نیز مهم است. یک صرافی ثبت شده و دارای مجوز در کشوری با نظارت مالی واقعی، با حذف موارد غیرضروری، ضرر بیشتری می‌کند و در صورت بروز مشکل، حداقل تا حدودی از حمایت قانونی برخوردار است. پلتفرمی که توسط یک تیم ناشناس از ناکجاآباد اداره می‌شود، هیچ یک از این موارد را ارائه نمی‌دهد و دقیقاً همان گروه‌هایی هستند که بعداً به عنوان کلاهبرداری‌های خروج از سیستم ظاهر می‌شوند. همچنین ارزش دارد که دارایی‌های خود را در بیش از یک مکان پخش کنید، بنابراین یک نقض امنیتی هرگز نمی‌تواند همه دارایی شما را از بین ببرد.

هیچ‌کدام از این‌ها تضمینی نیست. بای‌بیت وقتی مورد حمله قرار گرفت، یک صرافی متمرکز معتبر و تحت نظارت بود و نکته دقیقاً همین است: اعتبار، احتمالات را کاهش می‌دهد، اما آن‌ها را از بین نمی‌برد. اما این سیگنال‌ها، احتمالات را به نفع شما کنار می‌گذارند و صرافی‌ای که از بحث در مورد امنیت خود امتناع می‌کند، چیزی به شما می‌گوید.

آینده امنیت صرافی‌های ارز دیجیتال

این سیستم دفاعی به آرامی در حال جبران عقب‌ماندگی است. صرافی‌ها به سمت کیف پول‌های MPC حرکت می‌کنند که کلیدها را تقسیم می‌کنند تا هیچ دستگاه واحدی آنها را در اختیار نداشته باشد، امضای سخت‌افزاری، ممیزی‌های قرارداد هوشمند برای اجزای درون زنجیره‌ای آنها و نرم‌افزاری که یک تراکنش را قبل از تأیید توسط کسی شبیه‌سازی می‌کند. همه اینها به کاهش خطر نقض امنیتی کمک می‌کند. هیچ‌کدام از اینها ضعیف‌ترین حلقه را که هنوز فردی است که می‌تواند فریب بخورد یا رشوه بگیرد، برطرف نمی‌کند. تا زمانی که این تغییر نکند، امن‌ترین فرض در مورد هک‌های صرافی‌های ارز دیجیتال این است که هر صرافی می‌تواند مورد بعدی باشد و هوشمندانه‌ترین حرکت این است که بیشتر ارزهای دیجیتال خود را در جایی نگه دارید که یک صرافی هک شده نتواند به آن دسترسی پیدا کند.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.