هانی پات چیست؟ راه های جلوگیری از کلاهبرداری Honeypot

هانی پات (Honeypot) یک شیوه هوشمندانه در به دام انداختن هکرهای کلاه سیاه یا سوء استفاده مالی از اطلاعات کاربران پلتفرم‌های آنلاین و بخصوص کریپتو است. به عبارتی، هانی پات را می‌توان یک عامل دوگانه یاد کرد که هم می‌تواند به نفع کلاهبرداران و هم برای به دام انداختن آن‌ها استفاده شود؛ بسته به اینکه هدف از طراحی آن چه باشد، بهره‌برداری می‌تواند مثبت یا منفی باشد.

کلاهبرداری هانی پات شیوه‌ای از هک در بازارهای مالی مانند کریپتو است که در آن، با استفاده از قراردادهای هوشمند هکر اقدام به برداشت غیرقانونی اطلاعات کاربران و سوء استفاده از آن‌ها می‌کند. به ویژه، هکرها به دنبال دریافت اطلاعات کیف پول، میزان دارایی و پسوردهای مهم هستند که راه را برای دسترسی هکر به دارایی دیجیتال شخص باز می‌کنند.

نکته مهم این است که هانی پات همچنین یک تمرین فوق العاده کارا، فراگیر و مثبت در دنیای توسعه دهندگان وب و اپلیکیشن است. در آنجا، Honeypot دیگر یک کلاهبرداری نیست، بلکه روشی برای گول زدن هکرها و به دام انداختن آن‌هاست. با این حال، در این مقاله ما قصد اطلاع رسانی درباره شیوه‌های کلاهبرداری هانی پات در ارز دیجیتال و نحوه اجتناب از آن‌ها را داریم و کمتر به وجه توسعه نرم‌افزار این روش می‌پردزایم.

مقالات زیر پیشنهاد پارسیان کریپتو برای برداشتی بهتر از مقاله حاضرند:

قراداد هوشمند چیست؟

اتریوم چیست؟ 

هانی پات چیست؟

یکی از شاخص‌ترین نوآوری‌ها در فناوری بلاکچین، قرارداد هوشمند یا Smart Contract بود که انقلابی در طراحی بلاکچین، محصولات و خدمات آن به وجود آورد. این قراردادها درواقع کدهایی قابل‌ اجرا، تغییر و شخصی‌سازی هستند که به منظور اجرای دستورات تفاهمی و ساده‌سازی فعالیت‌های اشتراکی در شبکه معرفی شده‌اند.

با استفاده از یک قرارداد هوشمند شما می‌توانید با هر عضو دیگر از شبکه در فعالیت استخراج ارز دیجیتال مشارکت داشته باشید، از یک پلتفرم وام بگیرید، بابت استک کردن ارز دیجیتال خود پاداش بگیرید یا به یک استخر نقدینگی ارز دیجیتال بپیوندید و هزاران فعالیت دیگر که در بلاکچین تعریف شده‌اند را در قالب توافقی که قرارداد تعریف می‌کند به اجرا برسانید.

اما قراردادهای هوشمند در کنار تمام تسهیلات خود، دسترسی‌ها و تهدیدات خطرناکی را نیز برای شبکه‌های بلاکچین به همراه داشته‌اند. بخصوص، هانی پات یکی از این تهدیدات است که از طریق قراردادی هوشمند تعریف می‌شود و با نفوذ به شبکه کاربران ارز دیجیتال (به‌ویژه از طریق عمل فیشینگ) شرایط را برای بهره‌برداری هکرها از عدم ‌آگاهی و غفلت کاربران فراهم می‌کند.

برای مثال، قراردادهای هوشمندی وجود دارند که به ظاهر نقصی فنی در کد آ‌ن‌ها هست و اینگونه می‌نمایند که اگر کاربر مقدار ارز مشخصی (معمولا اتر) وارد آن‌ها کند، می‌تواند از آن نقص کوچک برای برداشت مالی بیشتر بهره بگیرد. کاربری که فرصت را غنیمت می‌شمرد، اما از کلاهبرداری هانی پات در پس آن بی‌خبر است، اقدام به ارسال مقدار از آن ارز دیجیتال اولیه خواسته شده می‌کند و به محض ارسال، هکر ارزهای پیش‌فرض در قرارداد را خارج و اترهای کاربر را نیز برداشت می‌کند.

بنابراین، HoneyPot چنانکه از نام آن مشخص است (کوزه عسل) یک تله شیرین برای به دام انداختن کاربر است. در این تله طعمه همان لذت سود باد آورده‌ای است که کاربر فکر می‌کند تنها اوست که تشخیص داده و حاضر است اطلاعات شخصی خود را با قرارداد به اشتراک بگذارد و حتی بابت این فرصت کمی هزینه هم بکند. مهم اینکه، میزان مبلغی که قرار است بابت هزینه انجام تراکنش پرداخت شود نسبت به سود معرفی شده پایین است و همین باعث وسوسه شدن کاربر می‌شود.

عملکرد هانی پات ارز دیجیتال چگونه است؟

برای فهم بهتر عملکرد هانی پات ارز دیجیتال، ابتدا مثالی واقعی از نحوه استفاده هکرها از این تله شیرین را ارائه می‌کنیم.

مثالی عینی از کلاهبرداری هانی پات در ارز دیجیتال

در سال 2018 یکی از هکرهای بازار ارز دیجیتال ایده‌ای به ذهنش رسید که در آن، یک کیف پول دیجیتال خلق و معادل با 5000 دلار از یک ارز دیجیتال مبتنی بر بلاکچین اتریوم را در این کیف پول ارز دیجیتال خود قرار داد.

او سپس کلیدهای خصوصی کیف پول خود را در یک چت عمومی منتشر کرد (طوری وانمود کرد که تصادفی این اتفاق افتاده است). در ادامه، برخی از کاربران به فکر بهره‌برداری از موقعیت ایجاد شده افتادند؛ بدون آگاهی از اینکه قرارداد هوشمندی در پس این فعالیت است که برای برداشت اطلاعات خصوصی آن‌ها طراحی شده است.

آن‌ها ولت‌های خود را به وبسایت وصل کردند تا کوین‌های کیف پول هکر را برداشت کنند. اما نکته اینجا بود که برای دریافت این 5000 دلار ارز دیجیتال، باید هزینه تراکنشی به ارزش 100 دلار پرداخت می‌شد. پس از پرداخت این مبلغ، کاربران با این پیغام مواجه می‌شدند که امکان انجام تراکنش نیست چون هزینه تراکنش هرگز پرداخت نشده است؛ آن‌ها نمی‌دانستند که وقتی هزینه 100 دلاری را به قرارداد منتقل می‌کنند هکر آن را به کیف پول دیگری انتقال می‌دهد و اینگونه قرارداد هوشمند اصلی هیچ وقت اجرایی نمی‌شود و کسی نمی‌تواند به آن 5000 دلار دسترسی داشته باشد.

عملکرد هانی پات ارز دیجیتال در حالت کلی

به طور کلی، در این شیوه از کلاهبرداری، هکر دارایی مشخصی را در مکانی مشخص فریز می‌کند، به طوری که تنها اوست که به این دارایی، یا هزینه پرداختی، دسترسی دارد. شبیه مثال بالا، کاربران مبلغی را پرداخت می‌کنند و هرگز پی نخواهند برد که بابت چه بود و کجا رفته است. این دقیقا همان روی تاریک قراردادهای هوشمند و امکان بهره‌برداری مخربانه از آن‌هاست.

به طور دقیق‌تر، هکر سه مرحله زیر را برای به دام انداختن قربانی خود طی می‌کند:

• ایجاد قراردادی هوشمند و فرصتی که به نظر از اشتباه هکر نشأت گرفته و کاربر زیرک می‌تواند از این فرصت بهره‌ای مالی ببرد.
• دریافت مبلغی بسیار کمتر از فرصت بالا به عنوان هزینه تراکنش یا امثال آن.
• قطع دسترسی کاربر به هزینه پرداختی با انتقال آن به مکانی امن و اجرای 2 مرحله قبلی برای تمام قربانی‌هایی که گول این فرصت بهره‌برداری مالی را خورده‌اند.

جالب اینکه تمام آنچه هکر نیاز دارد، قدرت مالی، مثل همان 5000 دلار، و شبکه‌ای ارتباطی با کاربران فعال در ارز دیجیتال است. هیچ نیازی به قدرت برنامه‌نویسی فوق‌العاده یا ذکاوت بالا در طراحی تله نیست؛ در واقع، این طمع کاربر است که باعث می‌شود فرصت اشتباهی را غنیمت ببیند و پا در دام بگذارد.

توجه کنید که قرارداد هوشمندی که هکر از طریق آن اقدام به تعریف هانی پات می‌کند، به ظاهر جزئی از شبکه است که اشتباهی کوچک در آن رخ داده است. با این حال، در واقعیت این قسمت کوچک به شدت توسط هکر محافظت می‌شود و هر ورود و خروج به قراداد توسط او مدیریت می‌گردد.

انواع کلاهبرداری هانی پات

چنانکه عنوان کردیم، هانی پات در قالب قرارداد هوشمند وارد شبکه‌ می‌شود و با طراحی دامی شیرین برای کاربرانی که دنبال سود بی‌دردسر هستند اقدام به سودجویی می‌کند. بنابراین، انواع کلاهبرداری هانی پات ارتباط نزدیکی با نوع قرارداد هوشمند و شیوه طراحی تله در آن دارد. هانی پات می‌تواند یک کیف پول آسیب‌پذیر باشد یا یک صرافی جعلی که آفرهای هیجان انگیزی دارد و مخاطب را وسوسه می‌کند.

موارد زیر انواع معمول کلاهبرداری هانی پات هستند:

• عرضه اولیه‌های ارز دیجیتال (ICO) جعلی: بسیاری از کاربران هستند که تنها بر روی عرضه‌های اولیه سرمایه‌گذاری می‌کنند، جایی که کوین با قیمت پایین عرضه و در ادامه پتانسیل رشد خوبی دارد. هکرها با معرفی کوین‌های فیک اقدام به فروش توکن‌هایی می‌کنند که در نهایت معلوم می‌شود اصلا وجود خارجی نداشته‌اند.
• وبسایت‌ها و پلتفرم‌های معاملات ارز دیجیتال: در حالت پیشرفته‌تر از honeypot، هکرها اقدام به طراحی وبسایت‌ها، صرافی‌ها و ارائه دهندگان خدمات کیف پول می‌کنند. این وبسایت‌ها حتی برای مدتی عملکرد ظاهرا روشنی دارند اما در واقع برای دزدیدن کلیدهای خصوصی کاربران، دریافت حق تراکنش جعلی و معرفی توکن‌های نامعتبر طراحی شده‌اند.
• گروه‌های تحت عنوان Pump and Dump: در این نوع از کلاهبرداری هانی پات، کلاهبرداران کاربران تازه‌کار و حتی کهنه‌کار را ترغیب به ورود به ارز خاصی می‌کنند؛ ارزی که پس از افزایش قیمت ناگهان خالی می‌شود و سرمایه‌گذار دیگر خریداری برای فروش توکن‌های خود نمی‌یابد.
• جعل هویت: در نوع دیگری از این کلاهبرداری‌ها، از شخصیت‌‌های شناخته شده برای جلب اعتماد مردم استفاده می‌شود. در بازه زمانی کوتاهی، هکرها پلتفرم‌های جعلی و پرمخاطبی می‌سازند که کاربران در آن‌ها فعالیت کنند و حتی کیف پول‌های خود را به اشتراک بگذارند و در ادامه عمل فیشینگ گسترده‌ای روی کاربران صورت می‌گیرد.
• هدایای جعلی: در انواعی از هانی‌ پات، کلاهبردار از مخاطبان خود می‌خواهد که بابت هدیه‌ای که برنده شده‌اند مقداری ارز دیجیتال (بابت هزینه ارسال) پرداخت کنند. آن‌ها از جعل هویت و گیم‌های جایزه‌دار برای جلب اعتماد کاربر بهره می‌گیرند.
• مخاطب و حساب‌های آسیب‌پذیر: پر تکرارترین شیوه کلاهبرداری هانی پات، آسیب‌پذیر نشان دادن خود (یعنی هکر) به مخاطب است. در این شیوه، هکر در گروه‌های چت در انواع شبکه‌های اجتماعی اقدام به انتشار ساده‌لوحانه (درواقع زیرکانه) اطلاعات شخصی و مرتبط با دارایی دیجیتال خود می‌کند. از این طریق، کاربران به سمت قرارداد هوشمندی هجوم می‌آورند که در واقع دامی برای دزدیدن دارایی‌ آن‌هاست.

نحوه تشخیص کلاهبرداری هانی پات

مهم‌ترین نکته در نحوه تشخیص کلاهبرداری هانی پات، داشتن دانش و تجربه کافی درباره عملکرد بازار ارز دیجیتال، قراردادهای هوشمند و شیوه‌های درست سرمایه‌گذاری است. همه ما می‌دانیم که از میان 100 فرصتی که برای سرمایه‌گذاری پیش می‌آید، کمتر از 10 درصد آن واقعا به سود می‌رسد. بنابراین، هیچ سودآوری ساده و دم‌دستی را نباید به سادگی پذیرفت.

عرضه‌های اولیه‌ای که تنها توسط یک پلتفرم خاص (و ناآشنا) یا شخص معرفی می‌شوند، معمولا فیک هستند. انواع ارزهای معتبر تاریخچه انتشار دقیق‌تری دارند، توسط پلتفرم‌های قدیمی معرفی می‌شوند و عملکرد روشنی در مسیر انتشار آن‌ها به چشم می‌خورد.

همچنین، پلتفرم‌ها، صرافی‌ها و ارزهای دیجیتال معتبر تاریخچه نرمالی از خرید و فروش‌ها دارند. در مقابل، در انواع فیک، خریدهای زیادی وجود دارند، اما تعداد بسیار کمی امکان فروش داشته‌اند و در حال حاضر نیز فروش‌های قابل توجهی در معاملات دیده نمی‌شوند.

درنهایت، توجه به موارد زیر به شما کمک می‌کند فرق بین موارد مشکوک را از انواع سالم تشخیص دهید:

• میزان حمایت وبسایت‌های معتبر از ارز دیجیتال یا پلتفرمی که در بازار ارز دیجیتال فعالیت می‌کند.
• وعده‌های غیرواقعی و به دور از انتظار کنونی بازار: مثلا اگر بازار اکنون خرسی است و اکثر ارزها در حال سقوط هستند، یک عرضه اولیه یا قرارداد هوشمند با وعده‌های سودآوری بالا با احتمال زیاد کلاهبرداری است.
• عدم وجود بازیگران قدرتمند در معاملات: اگر کیف پول‌هایی با تعداد توکن قابل توجه نسبت به کل توکن وجود ندارند، یعنی حمایتی در آن ارز وجود ندارد و با احتمال زیاد معاملاتش فیک است.
• فعالیت اکانت‌ها در شبکه‌های اجتماعی: در پروژه‌های هانی پات، آسیب‌پذیری‌ها یا معرفی توکن‌ها و سرمایه‌گذاری‌های جدید با فرکانس بالا و توسط حساب‌های غیرواقعی و کاملا مشکوک ارائه می‌شوند. کافی است به یک حساب توییتر و تاریخچه آن نگاه کنید تا فرق حساب فیک از انواع واقعی و با هویت مشخص را تشخیص دهید.

روش‌های جلوگیری از هانی پات

اولین قدم در جلوگیری از هانی پات، صبر داشتن و هیجانی نشدن در هنگان تشخیص یک فرصت سرمایه‌گذاری یا برداشت سود بدون دردسر است. در ادامه، مواردی را مطرح می‌کنیم که به شما در ممانعت از طعمه شدن برای یک کلاهبرداری هانی پات  کمک شایانی خواهند کرد.

• از ارزهای دیجیتالی که توسط یک یا چند وال اصلی (کیف پول‌ها با دارایی بالا) کنترل می‌شوند اجتناب کنید.
• همیشه، و با تأکید می‌گوییم که همیشه، اگر با قرارداد هوشمندی برخورد کردید که نقطه آسیب‌پذیری در آن دیدید و امکان مشخصی در برداشت بی‌دردسر یک ارز دیجیتال در آن بود، از فعالیت‌های مرتبط با آن اجتناب کنید، حتی اگر قرار است یک چت گروهی را ترک کنید.
• در صرافی‌های معتبر و با تاریخچه مشخص معامله کنید. اشتباهی که بسیاری از کاربران مرتکب می‌شوند این است که فکر می‌کنند پلتفرمی شلوغ با آن همه کاربر، ارزهای معرفی شده، امکانات بالا و پیچیدگی اپلیکیشن حتما باید واقعی باشد، حتی اگر به تازگی شروع به کار کرده است. واقعیت این است که پلتفرم‌های جعلی را می‌توان در کمتر از یک روز ایجاد کرد، برای آن‌ها کاربر استخدام یا مسیری برای جلب صدها کاربر تعریف کرد.
• همیشه به ناخودآگاه خود اعتماد کنید! اگر حس می‌کنید که پروژه‌ یا وضعیت پیش رو مشکوک و غیرقابل اعتماد است، مطمئن باشید که یک جای قضیه می‌لنگد. پس یا از آن به طور کلی چشم‌پوشی کنید یا وقت بیشتری صرف جمع‌آوری اطلاعات درباره آن کنید.

بعلاوه، همیشه این نکته را به یاد داشته باشید که ما دو نوع هانی پات داریم، یکی Honeypot مورد استفاده توسط توسعه‌دهندگان بلاکچین و دیگر پلتفرم‌هاست که از این تله برای حفاظت از محصولات آنلاین خود استفاده می‌کنند. دیگری هانی پاتی است که به کلاهبرداری در ارز دیجیتال مرتبط است و توسط هکرها برای به دام انداختن معامله‌گران تازه‌کار یا ناآگاه از وضعیت کنونی بازار استفاده می‌شوند؛ هدف ما در این مقاله نوع دوم و مرتبط با کلاهبرداری در بازارهای ارز دیجیتال بود.

پارسیان کریپتو مرجعی مطمئن برای دیدن قیمت بیت کوین، قیمت اتریوم و قیمت ارز های دیجیتال دیگر

جمع‌بندی

هانی پات می‌تواند یک پیام ساده‌ای باشد که توسط یک کاربر به ظاهر تازه‌کار در شبکه‌ای اجتماعی مانند توییتر پخش شده است. در اینجا، هکر خود را آسیب‌پذیر معرفی می‌کند و اطلاعاتی واقعی از کیف پول یا مسیرهای دسترسی به دارایی دیجیتال خود را در اختیار کاربران قرار می‌دهد. اینجاست که مزه شیرین سود از یک کاربر ساده لوح به حرکت برخی از کاربران به سمت تله می‌انجامد، جایی که قلمرو هکر است و کسی دیگر نمی‌تواند از آن برداشت مالی کند.

فراموش نکنید، تا زمانی که با این قراردادهای هوشمند و پلتفرم‌های خرابکارانه در تعامل نباشید، آسیبی به شما نخواهد رسید. بنابراین، اولین و مهم‌ترین گام در تشخیص و جلوگیری از هانی پات، عدم مشارکت در فعالیت‌های مشکوک و بیش از اندازه راحت برای سرمایه‌گذاری است.

نکته نهایی اینکه هانی پات به هیچ وجه تنها نماینده یک فعالیت منفی نیست. برعکس، این اصطلاح در ابتدا برای تعریف یک فعالیت مثبت در دنیای توسعه نرم‌افزار استفاده شده است (و هنوز هم استفاده می‌شود). شبیه هکرهای کلاه سفید و کلاه سیاه، هانی پات می‌تواند یک عمل برای گیر انداختن خرابکاران، یا اینکه فعالیتی مخرب درجهت دزدی از سرمایه‌گذاران باشد.

سوالات متداول

کلاهبرداری هانی پات چیست؟

کلاهبرداری هانی پات در معنی جامع آن، ایجاد تله‌های مبتنی بر قراردادهای هوشمند توسط هکرهاست. در این تله‌ها، سود بی دردسر و بادآورده‌ای برای کاربر جلوه داده می‌شود، سودی که برای تحریک و وسوسه کاربر به شکل زیرکانه‌ای در قالب آسیب‌پذیری قرارداد هوشمند معرفی می‌گردد.

چگونه می‌توان هانی پات ارز دیجیتال را تشخیص داد؟

اولین گام در تشخیص این نوع کلاهبرداری، صبور بودن و عدم واکنش سریع به آن است. درباره آن تحقیق کنید، از مراجع و پلتفرم‌های معتبر کمک بگیرید و اگر قرارداد هوشمند مرتبط با اتریوم است به وبسایت Etherscan مراجعه کنید.

عرضه اولیه فیک چیست و چگونه عمل می‌کند؟

منظور از عرضه اولیه فیک و اسکم متناظر با آن، ایجاد پلتفرم و معاملات مرتبط با یک عرضه اولیه است که توکنی برای آن تعریف نشده  و هدف آن جمع‌آوری پول از کاربران برای خرید توکن‌های جعلی است. در این کلاهبرداری، پلتفرم، اکانت شبکه اجتماعی، وایت پیپر و هرآنچه برای یک عرضه اولیه لازم باشد تقریبا مهیا می‌شود تا به ظاهر واقعی به نظر آید. با این حال، این کلاهبرداری‌ها همیشه وعده‌های باورنکردنی می‌دهند، توسط پلتفرم‌هایی چون کوین‌ مارکت کپ پشتیبانی نمی‌شوند و شرکت یا شخص معتبری از آن‌ها پشتیبانی نمی‌کند.

آیا هانی پات تنها برای گول زدن معامله‌گران است؟

به هیچ وجه، برخی از پلتفرم‌های معاملاتی، مانند صرافی‌ها یا بلاکچین‌های مستقل، از این تله‌ها برای گیر انداختن هکرهای کلاه سیاه استفاده می‌کنند. به ویژه، این نوع از Honeypot بسیار کاربردی است و قراردادهای هوشمند زیادی توسط خود بلاکچین برای به بیراه کشاندن هکرها در این قالب طراحی شده‌اند.