هک نوبیتکس یکی از اتفاقات بحث برانگیز در روزهای جنگ ایران و اسرائیل بود که طیف وسیعی از اقشار مختلف را درگیر کرد. در جریان این حمله سایبری ۱۰۰ میلیون دلار از دارایی رمزارزی این صرافی به سرقت رفت و سوزانده شد. پلتفرم نوبیتکس چند روز در دسترس نبود اما بعد موفق به بازگشت شد و مسئولیت جبران خسارت کاربران را برعهده گرفت. اما در مورد این حادثه امنیتی، اینکه چطور رخ داد و احتمال تکرار آن وجود دارد هنوز پرسشهایی وجود دارد که در این گزارش به آنها میپردازیم.
صبح روز ۲۸ خرداد ۱۴۰۴ حادثه بیسابقهای برای یکی از پلتفرمهای رمزارزی در ایران رخ داد؛ نوبیتکس مورد حمله سایبری یک گروه هکری قرار گرفت و حدود یکصد میلیون دلار رمزارز از دارایی این شرکت به سرقت رفت. اتفاقی شوکهکننده که در ساعات آغازین ششمین روز از حمله اسرائیل به ایران رخ داد؛ درحالیکه آسمان تهران هدف حملات بیامان موشک و جنگندهها بود. نوبیتکس اما توانست در کمتر از ۱۰ روز، دسترسی کاربران به داراییهایشان را ممکن کند مسئولیت جبران خسارت را نیز بر عهده بگیرد. این در حالی است که بر اساس اظهارات مدیرعامل نوبیتکس، هیچ نهاد یا ارگانی حمایتی از آنها نکرد.
حادثه امنیتی برای نوبیتکس در شرایطی رخ داد که کل ایران درگیر یک بحران بزرگ بود. حمله نظامی اسرائیل از بامداد ۲۳ خرداد با یک غافلگیری رقم خورد. تهدید جنگ بسیاری از شهروندان را مجبور به خروج از شهر کرد. اگر به روزهای ابتدایی جنگ بازگردیم، میبینیم نوبیتکس در آن روزها در چند نوبت اطلاعیه منتشر کرد که ترجیعبند آنها، دعوت از کاربران برای حفظ آرامش و پرهیز از معاملات هیجانی یا اطلاعرسانی درباره محدودیت فعالیت بازار تتر به درخواست بانک مرکزی بود. تصمیمی که البته در مورد همه صرافیهای رمزارز اعمال شد.
یک مشکل حادتر هم اختلال در دسترسی به اینترنت بینالملل بود. شرکتهای رمزارزی برای مدیریت بازارها و ارائه سرویس، به اینترنت جهانی و اتصال به شبکههای بلاکچین نیاز دارند. امیرحسین راد مدیرعامل نوبیتکس در توضیح این شرایط میگوید: «اختلال اینترنت در شرایط جنگ اما ارائه خدمات به کاربران را هم دشوار کرده بود.» در عین حال بسیاری از شهروندان برای مدیریت معیشت خود به مشکل خوردند و به سرمایههای خُرد خود که روی بازارهایی مثل رمزارز سرمایهگذاری کردند نیاز داشتند.
حمله به دو بانک بزرگ ایران یعنی سپه و پاسارگاد هم دسترسی به بخشی از سپردههای ریالی بعضی شهروندان را غیرممکن کرده بود. این پرترهای از حال و روز کسبوکارهای رمزارزی مثل نوبیتکس در روزهای قبل از هک است.
صبح روز چهارشنبه ۲۸ خرداد گزارشهای پراکندهای از یک پیام مشکوک روی گوشی موبایل کاربران نوبیتکس منتشر شد که از آنها میخواست دارایی خود را از این پلتفرم خارج کنند. قبل از اینکه بازار شایعات داغ شود، نوبیتکس با انتشار یک اطلاعیه تایید کرد که مورد حمله سایبری قرار گرفته است. این اطلاعیه پیش از ساعت ۱۰ صبح و در زمانی منتشر شد که گروه هکری در حال دستبرد زدن به کیفپولهای گرم نوبیتکس بود. نوبیتکس از همان اطلاعیه اول مسئولیت جبران خسارات را برعهده گرفت و تا حدودی از نگرانی کاربران کم کرد. در طول روز اول، دو اطلاعیه رسمی دیگر هم از نوبیتکس منتشر شد. سایت و اپلیکیشن نوبیتکس از دسترس خارج شده و راهی بهجز شبکههای اجتماعی و رسانهها برای اطلاعرسانی وجود نداشت. در این شرایط، نوبیتکس برای رفع دغدغه کاربران برای اولینبار پشتیبانی حضوری را هم راهاندازی کرد.
اینکه از نظر فنی چه اتفاقی برای نوبیتکس افتاد، موضوع پیچیدهای است. اینطور که مدیران ارشد فنی نوبیتکس تاکنون توضیح دادند، این نفوذ طی یک عملیات ترکیبی نرمافزاری و سختافزاری صورت گرفته است. گروه هکری حدود ۱۰۰ میلیون دلار دارایی رمزارزی را سرقت و به کیفپولی منتقل کرد که کلید خصوصی ندارد. یعنی عملاً این دارایی رمزارزی سوزانده شده است. اقدامی که ثابت میکند این هک با هدف برهم زدن امنیت افکار عمومی در روزهای جنگ انجام شده بود. سابقه گروه هکری «گنجشک درنده» در حمله راهآهن، سامانه سوخت، شرکتهای فولادی و بانکها هم مهر تاییدی بر این ادعاست. نوبیتکس با بیش از ۱۱ میلیون کاربر، طعمه خوبی برای برهم زدن آرامش روانی جامعه به نظر میرسید.
بررسی دادههای موجود در شبکه بلاکچین نشان میدهد اولین واکنش نوبیتکس بعد از وقوع حادثه امنیتی، امنسازی دارایی و تخلیه کیفپولهای گرم بوده است. در عین حال عمده دارایی تحت مدیریت این پلتفرم در کیفپولهای سرد نگهداری میشود که قابل نفوذ نیستند و به همین دلیل از حمله مصون ماندند. بااینحال شهروندان تا چند روز به دارایی خود دسترسی نداشتند و در این شرایط نوبیتکس در گام دوم، برای بازگشت تدریجی برنامهریزی کرد که این موضوع هم در قالب اطلاعیهای رسمی توضیح داده شد. استراتژی گام به گام، این فرصت را به تیمهای فنی داد که زیرساختهای نوبیتکس را به صورت لایهبهلایه از نو بسازند و امنسازی کنند. این تصمیم در عین حال به مدیریت هیجان کاربران هم کمک کرد. بر اساس اعلام مدیر عامل نوبیتکس، «در این فرآیند کل معماری زیرساختی نوبیتکس بازطراحی شده است و این ریسکِ آسیب مجدد را به حداقل میرساند.» بر پایه اظهارات مدیران نوبیتکس، یکی از اقدامات فوری این تیم جمعآوری سرورها از مراکز دیتاسنتر و بررسی همه موارد امنیتی برای پیدا کردن رد پای نفوذ بود. علیرغم آسیبهایی که به اطلاعات ذخیرهشده وارد شده بود، نوبیتکس وارد مرحله بازیابی شد و عملاً کمتر از یک هفته بعد از هک، سایت نوبیتکس دوباره در دسترس کاربران قرار گرفت. در این مرحله از کاربران خواسته شد رمز عبور خود را بازیابی کنند و بعد موجودی کیفپول کاربران به آنها نمایش داده شد. نوبت بعدی امکان واریز و برداشت فعال شد و کمتر از دو هفته بعد از هک، شاهد فعالیت بازارهای نوبیتکس بودیم.
این یک واقعیت است که هیچ سامانه یا شرکتی که با اینترنت سروکار دارد نمیتواند با قطعیت بگوید که به هیچ وجه قابل نفوذ و هک نیست. به عبارت دیگر امنیت سایبری یک فرایند پویا و دائماً در حال تکامل است، نه یک وضعیت قطعی و تغییرناپذیر. با این حال اینطور که نوبیتکس در گزارشهای رسمی اعلام کرده، بعد از بازگشت سعی کرده معماری امنیتی و زیرساختی خود را به طور چند لایه و حوزهبندی شده بازطراحی کند تا در صورت بروز اتفاق مشابه در آینده، دامنه کوچکتر و با عمق کمتری آسیب ببیند. ضمن اینکه طبق اعلام روابطعمومی نوبیتکس، استانداردهای امنیتی این پلتفرم هم به روزرسانی شده تا احتمال بروز مشکل مشابه را به حداقل برساند.
