مهم‌ترین کلاهبرداری‌های ترون

چشم‌انداز جرایم سایبری در حوزه رمزارزها در بازه زمانی ۲۰۲۴ تا ۲۰۲۵ دستخوش تحولات ساختاری بنیادینی شده است که شبکه ترون (TRON) را در کانون توجه بازیگران مخرب قرار داده است. بر اساس گزارش‌های معتبر تحلیل بلاک‌چین، درحالی‌که حجم کل فعالیت‌های غیرقانونی در فضای رمزارزها در سال ۲۰۲۴ با کاهش ۲۴ درصدی مواجه شده و به حدود ۴۵ میلیارد دلار رسیده است، اما سهم شبکه ترون از این فعالیت‌ها به شکل نگران‌کننده‌ای افزایش‌یافته و به ۵۸ درصد از کل حجم تراکنش‌های غیرقانونی در بلاک‌چین‌های تحلیل‌شده رسیده است. این تغییر الگو نشان‌دهنده ترجیح بازیگران مخرب برای استفاده از شبکه‌هایی با هزینه تراکنش پایین، سرعت بالا و دسترسی گسترده به نقدینگی استیبل‌کوین‌هاست. در سال ۲۰۲۵، حملات هدفمند علیه کیف پول‌های شخصی به‌شدت افزایش‌یافته و ۱۵۸,۰۰۰ حادثه امنیتی ثبت شده است که بیش از ۸۰,۰۰۰ قربانی منحصربه‌فرد را تحت تاثیر قرار داده است. در این میان، گروه‌های هکری تحت حمایت دولت‌ها، به‌ویژه گروه لازاروس متعلق به کره شمالی (DPRK)، با ثبت رکورد سرقت ۲.۰۲ میلیارد دلار در سال ۲۰۲۵، از زیرساخت‌های شبکه ترون و پل‌های میان زنجیره‌ای برای پول‌شویی و جابه‌جایی دارایی‌های مسروقه استفاده کرده‌اند.

در این مقاله بلاگ صرافی التکس به تاریخچه ارز ترون و کلاهبرداری‌های آن می‌پردازیم.

چرا ترون انتخاب اول کلاهبرداران است؟

انتخاب شبکه ترون به‌عنوان بستر اصلی کلاهبرداری‌های مدرن، نتیجه مستقیم طراحی فنی و جایگاه اقتصادی این شبکه در بازار رمزارزهاست. تحلیل استراتژیک نشان می‌دهد که تلاقی سه عامل نقدینگی استیبل‌کوین‌ها، ساختار هزینه و مدل حاکمیتی، محیطی ایده‌آل برای فعالیت‌های غیرقانونی ایجاد کرده است.

تسلط مطلق تتر و نقدینگی استیبل‌کوین‌ها

شبکه ترون به بزرگ‌ترین میزبان تتر (USDT) در جهان تبدیل شده است. در سال ۲۰۲۱، ترون توانست از اتریوم در عرضه تتر پیشی بگیرد و تا سال ۲۰۲۳، حدود ۳۴.۵ میلیون کاربر در این شبکه مالک تتر بوده‌اند. نقدینگی عظیم تتر بر بستر استاندارد TRC-20، امکان جابه‌جایی سریع دارایی‌ها را بدون نوسانات شدید قیمتی فراهم می‌کند. برای کلاهبرداران، این نقدینگی به معنای سهولت در تبدیل دارایی‌های مسروقه به ارزهای پایدار و خروج آن‌ها از طریق صرافی‌های بدون احراز هویت (No-KYC) یا پلتفرم‌هایی مانند Huione Guarantee است که از سال ۲۰۲۱ تاکنون بیش از ۷۰ میلیارد دلار تراکنش را پردازش کرده‌اند.

مزایای فنی که به آسیب‌پذیری تبدیل شدند

معماری ترون بر پایه مکانیزم اجماع اثبات سهام واگذار شده (DPoS) طراحی شده است که زمان تایید بلاک را به ۳ ثانیه کاهش می‌دهد. این سرعت بالا، اگرچه برای کاربردهای تفریحی و پرداخت‌های خرد یک مزیت است، اما به کلاهبرداران اجازه می‌دهد تا پیش از آنکه قربانی متوجه شود یا صرافی‌ها اقدام به مسدودسازی کنند، دارایی‌ها را از چندین لایه کیف پول عبور دهند. علاوه بر این، کارمزدهای نزدیک به صفر در این شبکه، اجرای حملات انبوه مانند مسمومیت آدرس (Address Poisoning) را با هزینه‌ای ناچیز (کمتر از ۰.۰۱ دلار برای هر تراکنش) ممکن می‌سازد؛ درحالی‌که اجرای چنین حملاتی در شبکه اتریوم به دلیل هزینه‌های گاز (Gas Fees) بالا، صرفه اقتصادی برای مهاجم ندارد.

پیچیدگی سیستم مدیریت مجوزها

ساختار حساب‌های ترون به‌گونه‌ای طراحی شده است که به‌صورت بومی از قابلیت‌های چند امضایی و مدیریت سطوح دسترسی پشتیبانی می‌کند. برخلاف حساب‌های EOA در اتریوم که به طور پیش‌فرض ساده هستند، هر حساب ترون می‌تواند دارای مجوزهای Owner و Active با وزن‌های متفاوت باشد. این انعطاف‌پذیری، اگرچه ابزاری قدرتمند برای مدیریت دارایی‌های شرکتی است، اما پیچیدگی آن باعث شده تا کاربران عادی هدف حملات تغییر مجوز قرار گیرند؛ جایی که کلاهبردار بدون سرقت کلید خصوصی، خود را به‌عنوان یکی از صاحبان امضای حساب معرفی می‌کند.

یکی از تحولات کلیدی در سال ۲۰۲۵، گذار از روش‌های سنتی سرقت عبارت بازیابی به سمت حملات فنی مبتنی بر منطق قراردادهای هوشمند و دست‌کاری پروتکل است. در این دسته از حملات، قربانی تراکنشی را امضا می‌کند که در ظاهر بی‌خطر است، اما در عمل منجر به ازدست‌رفتن دائمی کنترل دارایی‌ها می‌شود.

مسمومیت آدرس و تراکنش‌های بدون ارزش (Address Poisoning)

این متد که تحت عنوان "حمله گردوغبار" (Dusting Attack) نیز شناخته می‌شود، از رفتارهای خودکار کاربران در کپی‌کردن آدرس‌ها سوءاستفاده می‌کند. مهاجم با استفاده از ابزارهای تولید آدرس (Vanity Address Generation)، آدرسی تولید می‌کند که ابتدا و انتهای آن دقیقاً مشابه آدرس‌هایی است که کاربر اخیراً با آن‌ها تعامل داشته است. سپس با ارسال مقادیر ناچیزی از توکن (مانند ۰.۰۰۰۰۰۱ تتر) یا اجرای یک تراکنش صفر - ارزش، آدرس جعلی را در تاریخچه تراکنش‌های کیف پول قربانی ثبت می‌کند. در تراکنش‌های بعدی، کاربر به‌جای واردکردن دستی آدرس، آن را از تاریخچه کپی کرده و دارایی خود را مستقیماً به آدرس مهاجم ارسال می‌کند. این حملات در ترون به دلیل ظرفیت بالای شبکه و هزینه پایین، توسط ربات‌هایی اجرا می‌شوند که بلاک‌چین را به‌صورت بلادرنگ مانیتور می‌کنند.

کلاهبرداری تأییدیه توکن (Token Approval Scam)

تأییدیه توکن یا "Approve" تابعی در قراردادهای هوشمند (استاندارد TRC-20) است که به یک آدرس شخص ثالث اجازه می‌دهد مقدار مشخصی از توکن‌های کاربر را از طرف او خرج کند. کلاهبرداران با ایجاد وب‌سایت‌های جعلی ایردراپ، پاداش‌های استیکینگ یا صرافی‌های غیرمتمرکز تقلبی، کاربران را متقاعد می‌کنند تا پیامی را امضا کنند که در واقع اجازه برداشت نامحدود (Unlimited Approval) از تترهای موجود در کیف پول را صادر می‌کند. پس از اخذ این تأییدیه، مهاجم در هر زمان که بخواهد و بدون نیاز به تعامل مجدد با کاربر، می‌تواند از طریق تابع transferFrom موجود در قرارداد هوشمند، کل دارایی را تخلیه کند.

دست‌کاری و مبهم‌سازی در لایه ماشین مجازی (TVM)

مهاجمان حرفه‌ای، کدهای مخرب خود را در قالب قراردادهای هوشمند بی‌خطر (مانند ربات‌های آربیتاژ یا MEV) پنهان می‌کنند. تحقیقات نشان می‌دهد که این قراردادها از تکنیک‌های مبهم‌سازی (Obfuscation) مانند عملیات ریاضی XOR برای مخفی‌کردن آدرس کیف پول کلاهبردار در کد منبع استفاده می‌کنند.

$$\text{Attacker Address} = \text{uint160}(\text{Variable}_A \oplus \text{Variable}_B)$$

در این فرمول، متغیرهای $A$ و $B$ در بخش‌های مختلف کد تعریف شده‌اند و تنها در زمان اجرا توسط ماشین مجازی ترون (TVM) ترکیب می‌شوند تا آدرس مقصد نهایی را برای انتقال دارایی‌ها مشخص کنند. این روش شناسایی قراردادهای مخرب را برای ابزارهای امنیتی و تحلیل‌گران انسانی بسیار دشوار می‌سازد.

کلاهبرداری کیف پول چند امضایی

کلاهبرداری‌های مبتنی بر قابلیت چند امضایی (Multi-sig) در ترون، یکی از پیشرفته‌ترین انواع مهندسی اجتماعی و سوءاستفاده فنی را تشکیل می‌دهند. این حملات به‌جای سرقت دارایی، "مالکیت قانونی" حساب را هدف قرار می‌دهند.

مکانیزم تغییر مجوزهای حساب (Account Update)

در شبکه ترون، هر حساب دارای یک لیست دسترسی است که مشخص می‌کند کدام کلیدهای خصوصی اجازه امضای تراکنش‌ها را دارند. ساختار پیش‌فرض شامل یک امضا با آستانه (Threshold) یک است. کلاهبرداران از طریق فیشینگ، کاربران را ترغیب به امضای تراکنشی می‌کنند که مجوز Owner حساب را تغییر می‌دهد. با انجام این تراکنش، آدرس کلاهبردار به لیست اضافه شده و آستانه موردنیاز برای انجام هرگونه عملیات به عدد ۲ یا بالاتر افزایش می‌یابد. در این حالت، حتی اگر کاربر کلید خصوصی خود را داشته باشد، بدون امضای دوم (که در اختیار کلاهبردار است) قادر به انتقال هیچ دارایی نخواهد بود.

تله کلید خصوصی عمومی (The Seed Phrase Trap)

این کلاهبرداری که در پلتفرم‌هایی مانند یوتیوب و تلگرام بسیار رایج است، طمع کاربران را هدف قرار می‌دهد. کلاهبردار عبارت ۱۲ کلمه‌ای یا کلید خصوصی یک کیف پول را به‌صورت عمومی منتشر کرده و ادعا می‌کند که مقدار زیادی تتر (مثلاً ۵۰۰۰ تتر) در آن دارد؛ اما ترون کافی برای پرداخت کارمزد تراکنش ندارد. کاربر با واردکردن این کلید، دارایی را مشاهده می‌کند و تلاش می‌کند تا مقداری ترون برای کارمزد به آن واریز کند. اما به‌محض واریز ترون، متوجه می‌شود که حساب در حالت چند امضایی قرار دارد و امکان برداشت تتر وجود ندارد. درحالی‌که ربات‌های مهاجم، بلافاصله ترون‌های واریز شده توسط ده‌ها قربانی را جمع‌آوری کرده و تخلیه می‌کنند.

کلاهبرداری‌های سرمایه‌گذاری و مهندسی اجتماعی

کلاهبرداری‌های مبتنی بر مهندسی اجتماعی در اکوسیستم ترون، از مدل‌های سنتی پانزی به سمت استفاده از هوش مصنوعی و شبکه‌های حرفه‌ای پول‌شویی تکامل یافته‌اند. در سال ۲۰۲۵، این کلاهبرداری‌ها با استفاده از ابزارهای Deepfake و تحلیل‌های رفتاری آن چین، بسیار متقاعدکننده‌تر شده‌اند.

طرح‌های پانزی و پلتفرم‌های سوددهی جعلی

شبکه ترون به دلیل هزینه‌های پایین، میزبان تعداد زیادی از پروژه‌های "سود ثابت" است که با وعده سودهای روزانه بین ۴.۵ تا ۱۰ درصد، کاربران را به واریز ترون یا تتر ترغیب می‌کنند. این پروژه‌ها معمولاً از ساختار زیرمجموعه‌گیری هرمی استفاده می‌کنند. تحلیل داده‌ها نشان می‌دهد که اکثر این پلتفرم‌ها کمتر از ۴ ماه فعالیت می‌کنند و به‌محض کاهش ورود سرمایه‌های جدید، با روش "Rug Pull" تمام دارایی‌های قفل شده در قرارداد هوشمند را تخلیه می‌کنند.

استفاده از هوش مصنوعی و دیپ‌فیک (Deepfake Scams)

در سال‌های ۲۰۲۴ و ۲۰۲۵، کلاهبرداران از ابزارهای هوش مصنوعی برای جعل صدا و تصویر شخصیت‌های معروف حوزه رمزارز یا مدیران صرافی‌ها استفاده کرده‌اند تا پروژه‌های جعلی را تبلیغ کنند. در مواردی در سنگاپور و هنگ‌کنگ، باندهای سازمان‌یافته با استفاده از ویدئوهای دیپ‌فیک توانسته‌اند سیستم‌های احراز هویت (KYC) برخی پلتفرم‌ها را دور زده و به حساب‌های کاربران دسترسی پیدا کنند. پلیس هنگ‌کنگ در اوایل ۲۰۲۵، یک باند ۳۱ نفره را دراین‌رابطه دستگیر کرد که بیش از ۳۴ میلیون دلار کلاهبرداری کرده بودند.

کلاهبرداری "ذبح خوک" (Pig Butchering)

این نوع کلاهبرداری که ترکیبی از مهندسی اجتماعی طولانی‌مدت و سرمایه‌گذاری جعلی است، در بستر ترون و با استفاده از تتر به‌شدت رواج دارد. کلاهبردار هفته‌ها یا ماه‌ها وقت صرف ایجاد اعتماد در قربانی می‌کند و سپس او را به سمت یک پلتفرم معاملاتی یا کیف پول جعلی ترون هدایت می‌کند. قربانی در ابتدا سودهای کوچکی را مشاهده و حتی برداشت می‌کند، اما زمانی که مبالغ کلانی واریز می‌کند، حساب او به بهانه‌هایی مانند "مالیات" یا "بررسی امنیتی" مسدود شده و در نهایت کل دارایی به سرقت می‌رود.

کلاهبرداری اجاره انرژی (Energy Rental Scams)

مدل منابع در شبکه ترون که بر پایه پهنای باند و انرژی استوار است، یک بازار ثانویه برای اجاره این منابع ایجاد کرده است. کلاهبرداران با بهره‌برداری از عدم آشنایی کاربران با جزئیات فنی این سیستم، روش‌های جدیدی برای سرقت دارایی‌ها ابداع کرده‌اند.

پلتفرم‌ها و ربات‌های تلگرامی جعلی

بسیاری از کاربران برای کاهش هزینه تراکنش‌های تتر خود، به دنبال اجاره انرژی با قیمت کمتر هستند. کلاهبرداران با تبلیغات گسترده در گوگل و شبکه‌های اجتماعی، کاربران را به سمت ربات‌های تلگرامی یا سایت‌های جعلی هدایت می‌کنند. پس از اینکه کاربر ترون‌های خود را برای اجاره انرژی به آدرس ربات واریز کرد، نه‌تنها انرژی به حساب او واریز نمی‌شود، بلکه در برخی موارد، ربات از کاربر می‌خواهد برای اتصال نهایی، تراکنشی را امضا کند که منجر به تخلیه تترهای موجود در کیف پول می‌شود.

مکانیزم تخلیه از طریق DAppهای انرژی

برخی پلتفرم‌های جعلی اجاره انرژی، از یک پنجره پاپ‌آپ (Pop-up) مخرب استفاده می‌کنند. هنگامی که کاربر کیف پول خود را به سایت متصل می‌کند تا انرژی بخرد، سایت درخواستی برای امضای یک قرارداد هوشمند ارسال می‌کند که در ظاهر مبلغ خرید انرژی است، اما در واقعیت یک درخواست "Approve" برای دسترسی به تمام تترهای کاربر یا تغییر مجوزهای حساب به Multi-sig است. تحلیل‌های فنی نشان می‌دهد که این سایت‌ها از اسکریپت‌های Drainer استفاده می‌کنند که بلافاصله پس از امضا، دارایی را به آدرس‌های میانی منتقل می‌کنند.

مقابله با تهدیدات پیچیده در شبکه ترون نیازمند رویکردی چند‌لایه شامل ابزارهای کنترلی، مانیتورینگ آن چین و رعایت اصول پایه امنیت سایبری است.

استفاده از ابزارهای نظارتی TronScan

کاربران حرفه‌ای باید به‌صورت دوره‌ای آدرس خود را در مرورگر رسمی ترون اسکن جستجو کنند. در صفحه اکانت، بخش "Approval" نشان‌دهنده تمام آدرس‌هایی است که اجازه خرج‌کردن توکن‌های شما را دارند. هرگونه آدرس ناشناس در این لیست باید بلافاصله از طریق دکمه "Cancel" ابطال شود. همچنین در بخش "Multi-signature"، باید اطمینان حاصل شود که تنها آدرس خود کاربر دارای وزن (Weight) کافی برای انجام عملیات است و هیچ آدرس غریبه‌ای به مجوزهای Owner یا Active اضافه نشده است.

بهداشت سایبری و مدیریت تراکنش‌ها

• جلوگیری از مسمومیت آدرس: هرگز آدرس‌های مقصد را از تاریخچه تراکنش‌ها کپی نکنید. همیشه آدرس را از منبع اصلی دریافت کرده و تمام کاراکترهای آن را بادقت مطابقت دهید.
• امضای شفاف (Clear Signing): استفاده از کیف پول‌های سخت‌افزاری که از امضای شفاف پشتیبانی می‌کنند، ضروری است. این دستگاه‌ها جزئیات دقیق تراکنش را پیش از امضا به‌صورت متنی و خوانا نمایش می‌دهند.
• توزیع دارایی‌ها: پیشنهاد می‌شود دارایی‌های اصلی در یک "کیف پول سرد" که هرگز به dAppها متصل نمی‌شود نگهداری شود و تنها مبالغ اندک برای فعالیت‌های روزمره در کیف پول‌های گرم قرار گیرد.

همکاری‌های بین‌المللی و واحد T3 FCU

در اوت ۲۰۲۴، شبکه ترون با همکاری تتر و شرکت بازرسی بلاک‌چین TRM Labs، واحد جرایم مالی T3 (T3 FCU) را تأسیس کرد. این واحد با استفاده از تکنولوژی‌های پیشرفته ردیابی، موفق شده است در ماه‌های اولیه فعالیت خود بیش از ۱۰۰ میلیون دلار از دارایی‌های مسروقه و مرتبط با تروریسم را فریز کند. کاربران در صورت وقوع سرقت، باید بلافاصله گزارش خود را از طریق پلتفرم‌های رسمی این واحد یا صرافی‌هایی که دارایی به آن‌ها منتقل شده ثبت کنند تا شانس بازیابی دارایی افزایش یابد.