لقد ترك الاختراق المنظم للغاية لبورصة العملات المشفرة Coinbase (COIN) الأسبوع الماضي أسئلة أكثر من الإجابات.
في حين أشاد البعض باستجابة كوين بيس ووصفها بأنها "مثال رائع" في التعامل مع الأزمات، إلا أن الاختراق تسبب الآن في مشكلة خصوصية هائلة محتملة، تُحاكي اختراق بيانات ليدجر عام ٢٠٢١، والذي أدى إلى سلسلة من السرقات الفعلية، حيث تمكن المجرمون من الحصول على أسماء وعناوين حاملي العملات المشفرة. وقد أقرت كوين بيس بالفعل بأن عملائها ربما خسروا ما يقرب من نصف مليار دولار أمريكي نتيجةً لهذا الاختراق.
تمكن مجرمو الإنترنت من الوصول إلى بيانات مستخدمي Coinbase عن طريق رشوة وإقناع موظفي دعم Coinbase بمشاركة تلك البيانات، ولكن كان من الممكن منع ذلك تمامًا، وفقًا لعدد كبير من الخبراء الذين تحدثوا إلى CoinDesk.
قال آندي تشو، المؤسس المشارك لشركة BlockSec لأمن blockchain، لموقع CoinDesk: "إن نظام الأمان من شأنه أن يجعل سرقة البيانات مستحيلة من الناحية الفنية، ولكن من الواضح أن Coinbase لم تعطي الأولوية لهذه التدابير، مما ترك الباب مفتوحًا على مصراعيه".
إن السماح لهؤلاء المجرمين بالوصول إلى البيانات الشخصية، سواءً من خلال اختراق أو، في هذه الحالة، عبر الهندسة الاجتماعية، يُعدّ وصمة عار كبيرة على منصة تداول تُسهّل تداولات بمليارات الدولارات يوميًا. وقد تسبب هذا الاختراق في العديد من المشاكل، بما في ذلك خصوصية المستخدم وثقته . كيف استطاعت شركة كوين بيس، وهي شركة مساهمة عامة، أن تسمح للمهاجمين بسرقة معلوماتهم الشخصية وأموالهم من خلال البوابة الرئيسية؟ وهل كان من الممكن منع ذلك؟
أشادت هيذر ديل، الرئيسة التنفيذية لشركة Hackett Communications، برد Coinbase ووصفته بأنه "درس رئيسي في الاتصالات"، لكن طريقة Coinbase في معالجة المشكلات كانت بسيطة: رمي أكبر قدر ممكن من المال عليها.
عرضت البورصة مكافأة قدرها 20 مليون دولار لمن يُبلغ عن معلومات قد تؤدي إلى اعتقاله أو مقاضاته. كما التزمت بتعويض المستخدمين المتضررين طوعًا بما يتراوح بين 180 مليون دولار و400 مليون دولار.
ماذا حدث؟
قبل تحليل تداعيات الاختراق، من المهم أن نفهم بالضبط كيف حدث الاختراق في شركة مدرجة في البورصة تنفق ملايين الدولارات شهريًا على البنية التحتية الأمنية.
في فبراير، أبلغ المحقق ZachXBT المتخصص في سلاسل العملات الرقمية عن ارتفاع في سرقات مستخدمي Coinbase. وأوضح أن ذلك "نتيجةً لنماذج المخاطرة العدوانية وفشل Coinbase في منع مستخدميها من خسارة 300 مليون دولار سنويًا بسبب عمليات الاحتيال بالهندسة الاجتماعية".
أصبح الخوف من قيام مجرمي الإنترنت بسرقة مئات الملايين من الدولارات حقيقة واقعة الأسبوع الماضي عندما نشرت Coinbase منشورًا على مدونتها يكشف عن سرقة أرصدة الحسابات وصور الهوية الحكومية وأرقام الهواتف والعناوين وتفاصيل الحسابات المصرفية المقنعة.
بخلاف عمليات الاختراق والاختراق الأخرى، التي تتضمن استغلال المهاجمين لخلل في نظام التشغيل الخلفي، دخل هؤلاء المهاجمون من الباب الأمامي – بالتواصل مباشرةً مع موظفي كوين بيس وشراء الوصول إلى المعلومات عبر مصادر داخلية غير موثوقة. زعمت كوين بيس أنها فصلت جميع الموظفين المسؤولين فورًا، على الرغم من أنها لم تكشف في منشور المدونة عن الطريقة التي استخدمتها للعثور على المسؤولين.
ومع ذلك، لا تقتصر المشكلة على العملات المشفرة . ففي عام ٢٠٢٢، أكد بنك ريفولوت الرقمي سرقة ٥٠ ألف مجموعة من بيانات عملائه ، وبعد عام واحد، سُربت عناوين بريد إلكتروني لمنصة التداول روبن هود تصل إلى ٥ ملايين عنوان . وقد غُرِّمت هذه الأخيرة ٤٥ مليون دولار من قِبل هيئة الأوراق المالية والبورصات الأمريكية (SEC) عقب الاختراق، بعد أن اتضح أن بعض العملاء قد حُذفت حساباتهم من قِبل مهاجمين .
وذكرت هيئة الإذاعة البريطانية (بي بي سي) في أكتوبر/تشرين الأول أن أحد مستخدمي ريفولوت خسر 165 ألف جنيه إسترليني (220 ألف دولار) بعد خرق للبيانات، وأن نظام الكشف عن الاحتيال في البنك الجديد منع 475 مليون جنيه إسترليني من المعاملات الاحتيالية في عام 2023.
قالت شركتا Binance وKraken المنافستان لـ Coinbase إنهما تمكنتا من صد هجمات مماثلة للهندسة الاجتماعية في الأسابيع الأخيرة.
كما نشر الرئيس التنفيذي لشركة Coinbase، براين أرمسترونج، مقطع فيديو على X الأسبوع الماضي، صرح فيه أنه تلقى "مذكرة فدية" بقيمة 20 مليون دولار في عملة البيتكوين مقابل عدم إصدار هؤلاء المهاجمين لبعض المعلومات التي زعموا أنهم حصلوا عليها عن عملاء Coinbase.
وأضافت ZachXBT يوم الخميس أن المهاجمين بدأوا في إخفاء الأموال المسروقة عن طريق مبادلة BTC مقابل ETH على Thorchain، وهو مكان يستخدمه غالبًا قراصنة Lazarus Group الكوريون الشماليون سيئو السمعة .
"نداء استيقاظ كبير"
قال آندي تشو، المؤسس المشارك لشركة BlockSec للأمن السيبراني، لموقع CoinDesk، إنه كان ينبغي على Coinbase إجراء "فحوصات خلفية أكثر صرامة على الموظفين الذين يتعاملون مع بيانات حساسة" وإعداد "إنذارات للأنشطة الغريبة" مثل قيام شخص ما فجأة بتنزيل آلاف الملفات الشخصية للعملاء.
أضاف تشو أنه كان ينبغي على كوين بيس تطبيق العديد من الحلول التقنية. تشمل هذه الحلول وصولاً صارمًا قائمًا على الأدوار، ما يعني أن الموظفين لا يرون إلا البيانات الضرورية، أو أدوات خصوصية تتيح العمل دون الكشف عن التفاصيل الأولية (مثل طمس صور الهوية).
وقال نيك تاوسيك، كبير مهندسي أتمتة الأمن في Swimlane، لموقع CoinDesk إن الاختراق يجب أن يكون "جرس إنذار رئيسي" للكشف القوي عن التهديدات الداخلية.
مع اتساع نطاق عمليات الاستعانة بمصادر خارجية وامتدادها عبر مناطق زمنية، لا يمكن تجاهل أهمية الكشف عن التهديدات الداخلية وحوكمة الوصول. يمكن لموظف داخلي واحد يتمتع بإمكانية الوصول الصحيحة، أو في هذه الحالة، بحوافز خاطئة، أن يُحدث ثغرة حتى في أكثر الأنظمة الأمنية تحصينًا. فكما يُظهر هذا الاختراق، يكفي 1% فقط من العملاء المُخترقين لتصدر عناوين الأخبار بنسبة 100%.
ومع ذلك، ليس الجميع يعتمدون على Coinbase.
قال ميخال بوسبيزالك، الرئيس التنفيذي لشركة MatterFi، إن "المشكلة ليست خاصة بشركة Coinbase، بل هي ثغرة نظامية ابتليت بها العملات المشفرة منذ اليوم الأول".
وزعم أن طبيعة إرسال العملات المشفرة دون وسيط تعني أن جميع المنصات على بعد خطوة واحدة من الكارثة.
يحتاج المخترقون إلى تصميم وضعية تُمكّن المستخدمين من إرسال أموالهم في معاملة لا رجعة فيها. في حالة Coinbase، حصل المهاجمون على معلومات شخصية من موظف مارق.
وقال بوسبيسزالسك إن المشكلة الجذرية هي مشكلة عدم معرفة المستخدمين ما إذا كانوا يرسلون الأموال إلى المستلم الصحيح، مضيفًا أن العملات المشفرة تعمل على نموذج "ثق بي يا أخي" للتحقق من الهوية وهذا غير مستدام.
ماذا سيحدث بعد ذلك؟
أعلنت كوين بيس أنها ستعوض طوعًا عملائها الذين فقدوا أموالهم خلال الاختراق، وستواصل العمل مع جهات إنفاذ القانون للقبض على المسؤولين. لكن بالنسبة للمستخدمين، الطريق أكثر قتامة.
ذكرت البورصة في إفصاح تنظيمي يوم الأربعاء أن الاختراق أثر على 69,461 عميلًا. وأشار الإفصاح أيضًا إلى أن الاختراق حدث في ديسمبر 2024، ولم تكتشفه كوين بيس إلا في 15 مايو.
هذه التفاصيل متاحة الآن على الإنترنت، وربما تُباع على الإنترنت المظلم وفي مجموعات تيليجرام المشبوهة. بعد اختراق ليدجر، نُشرت تفاصيل العملاء على Raidforums ، وهي منصة مشبوهة لمشاركة البيانات، مما أدى إلى زيادة محاولات التصيد الاحتيالي.
للأسف، لا تستطيع Coinbase فعل أي شيء لمنع مشاركة هذه المعلومات المسربة، مما يدفع المستخدمين المتضررين إلى محاولة اتخاذ أكبر قدر ممكن من الإجراءات الوقائية. تشمل هذه الإجراءات تغيير محافظهم، وتغيير عناوين الإيداع في منصات التداول، وحتى تغيير عناوين منازلهم لتجنب خطر السرقة. كما ينبغي على المستخدمين الذين سُرّبت أرقام ضمانهم الاجتماعي إغلاق حساباتهم الائتمانية لمنع سرقة الهوية.
قد يكون الأمر مرهقًا، ولكن كما رأينا في وقت سابق من هذا العام أثناء محاولة اختطاف المؤسس المشارك لشركة ليدجر ديفيد بالاند (والعديد من الأفراد الآخرين على مدى الأسابيع القليلة الماضية)، فإن المجرمين لن يتوقفوا حتى يتمكنوا من استخراج الحد الأقصى من الأموال، حتى لو كان ذلك يعني ارتكاب أعمال عنف وحشية.
يُثير هذا أيضًا سؤالًا قانونيًا محتملًا: إذا تعرض أحد عملاء Coinbase للسرقة أو الاعتداء بسبب اختراق البيانات، فهل تتحمل Coinbase المسؤولية؟ لم تنجُ Ledger من دعوى قضائية جماعية مقترحة في وقت سابق من هذا العام، حيث زعم المدعون أن Ledger انتهكت سياسة الخصوصية الخاصة بها، وكان ينبغي عليها اتخاذ تدابير لمنع الاختراق.
وأشارت باحثة العملات المشفرة مولي وايت أيضًا إلى أن Coinbase غيرت اتفاقية المستخدم الخاصة بها في أبريل، مضيفة بندين يحدان من دعاوى الدعاوى الجماعية ويشترطان رفع الدعاوى القضائية في نيويورك، مع تطبيق التغييرات في 15 مايو، وهو نفس اليوم الذي تم الإعلان فيه عن الاختراق.
ردت Coinbase على CoinDesk بشأن ادعاءات White، مشيرة إلى أن البورصة "أخطرت العملاء مسبقًا " بتغيير اتفاقية المستخدم وأنها لديها تنازل عن الدعوى الجماعية لمدة "سنوات".
ولكن شركة Coinbase لم تعلق على الأسئلة المتعلقة بما إذا كان من الممكن منع الاختراق أو كيف سيحمي العملاء الذين قد يتعرضون لخطر السرقة في العالم الحقيقي في المستقبل.
