افشای دیرهنگام هک صرافی بیتوپرو (Bitopro) به ارزش 8.5 میلیون دلار

راهنمای فعالسازی کدشناسایی دو عاملی در آریومکس

فعالسازی

هفته گذشته، صرافی متمرکز تایوانی Bitopro بالاخره تایید کرد که در تاریخ 8 مه (19 اردیبهشت)، دچار یک نقض امنیتی بزرگ شده است. این حادثه منجر به از دست رفتن بیش از 8.5 میلیون دلار آمریکا از زیرساخت کیف پول داغ (hot wallet) این صرافی شد.

جزئیات هک و مسیر پول‌های سرقتی

تقریباً یک ماه پس از وقوع حادثه، Bitopro تأیید کرد که کیف پول‌های داغ آن مورد سوءاستفاده قرار گرفته‌اند. وجوه سرقتی از کیف پول‌هایی در شبکه‌های مختلف، از جمله اتریوم (Ethereum)، ترون (TRON)، سولانا (Solana) و پالیگان (Polygon) برداشت شده و سپس از طریق Thorchain به بیت کوین (Bitcoin) پل زده شده‌اند. نکته قابل توجه این است که مهاجمان برای پنهان کردن ردپای خود، این وجوه را از طریق سرویس‌های حفظ حریم خصوصی مانند Tornado Cash و Wasabi Wallet مسیریابی کرده‌اند. استفاده از چندین لایه پنهان‌سازی، تلاش‌ها برای ردیابی و بازیابی وجوه سرقتی را به شدت پیچیده می‌کند. Bitopro نیز اذعان کرده است که برای تحقیق، یک شرکت شخص ثالث امنیتی بلاکچین را استخدام کرده است.

راهنمای برداشت ترون در آریومکس

برداشت ترون (TRX)

پنهان‌کاری اولیه و خشم کاربران

زمانی که هک در ماه مه برای اولین بار اتفاق افتاد، Bitopro هیچ اطلاعیه عمومی صادر نکرد. در عوض، پست‌هایی منتشر کرد که نشان‌دهنده بروزرسانی و ارتقا و تعمیرات مداوم بود و ادعا می‌کرد که عملیات کامل در روز بعد سر گرفته خواهد شد. با این حال، برخی از کاربران گزارش دادند که برداشت‌ها، به ویژه به روی بستر USDT، مسدود شده است.

Bitopro تنها در تاریخ 2 ژوئن (13 خرداد)، تقریباً یک ماه کامل پس از حادثه، به طور عمومی نقض امنیتی را تأیید کرد. در این فاصله، صرافی اطلاعیه‌های مبهمی درباره نگهداری دارایی‌های رمزارزی منتشر کرده و وعده از سرگیری خدمات ظرف 24 ساعت را داده بود. کاربران در تاریکی نگه داشته شدند و برخی شروع به گزارش مشکلاتی در برداشت‌های USDT کردند که با تضمین‌های پلتفرم در تضاد بود.

در بیانیه ماه ژوئن خود، Bitopro این نقض را مربوط به یک “کیف پول داغ قدیمی” توصیف کرد که در طول فرآیند معمول تخصیص مجدد وجوه به خطر افتاده بود. این شرکت به کاربران اطمینان داد که ذخایرش دست نخورده باقی مانده و ادعا کرد که برداشت‌ها تحت تأثیر قرار نگرفته‌اند. با این حال، با توجه به مسدود شدن زودهنگام برداشت‌ها که برخی مشتریان تجربه کردند، این اظهارات با شک و تردید روبرو شده است.

اقدامات امنیتی و نگرانی کاربران

در به‌روزرسانی ماه ژوئن، Bitopro وعده داد که شفافیت را با اشتراک‌گذاری آدرس جدید کیف پول داغ و همکاری نزدیک با یک ارائه‌دهنده امنیت قانونی برای ردیابی جریان دارایی‌های سرقتی افزایش دهد. با این حال، اعتماد کاربران آسیب دیده است. افشای دیرهنگام و گزارش‌های متناقض درباره عملکرد برداشت، منجر به سیل انتقادات در پلتفرم‌های رسانه‌های اجتماعی و انجمن‌های کاربری شده است. این صرافی هنوز هیچ برنامه جبرانی رسمی یا جزئیات بیشتری درباره هویت مهاجم یا دامنه زیان‌ها برای هر توکن اعلام نکرده است.

چه معنایی برای شفافیت صرافی‌های متمرکز دارد؟

حادثه Bitopro برای کاربران رمزارز، یادآوری دیگری از خطرات ذاتی در نگهداری متمرکز (centralized custody) و نیاز به پاسخگویی و تضمین و تعهد بیشتر صرافی ها است. در حالی که کیف پول‌های سرد (cold wallets) معمولاً امن‌تر در نظر گرفته می‌شوند، بسیاری از صرافی‌های متمرکز همچنان برای نقدینگی عملیاتی بر کیف پول‌های داغ تکیه می‌کنند و آن‌ها را در معرض سوءاستفاده‌های احتمالی قرار می‌دهند.

این حادثه، مانند هک پروتکل امور مالی غیرمتمرکز (DeFi) Cetus با بیش از 200 میلیون دلار در ماه می 2025 و از دست رفتن داده‌های مشتریان Coinbase پیش از آن، از این نظر مهم است که منحصر به فرد نیست، بلکه بخشی از یک الگوی گسترده‌تر از امنیت ضعیف و پشتیبانی نامناسب از کاربران در فضای زیرساخت رمزارز است. طبق گزارش شرکت امنیتی رمزارز Peckshield، حدود 244 میلیون دلار در 20 هک بزرگ رمزارز در ماه می 2025 از دست رفته است. در سه ماهه اول سال 2025، بیش از 2 میلیارد دلار در هک‌های رمزارز از دست رفت. یکی از عوامل اصلی این مجموع، هک 1 میلیارد دلاری یک صرافی متمرکز دیگر به نام Bybit بود. Certik نیز گزارش داده است که از میلیاردها دلار رمزارز از دست رفته برای هکرها در سه‌ماهه اول 2025، تنها 0.38% بازیابی شده است.

این وقایع بر اهمیت تحقیق کاربران قبل از انتخاب صرافی و درک خطرات مرتبط با نگهداری دارایی‌ها در پلتفرم‌های متمرکز تأکید دارند.