تحقیق محرمانه آمریکا درباره تجهیزات ماینینگ بیت مین

آمریکا تحقیق محرمانه‌ای درباره تجهیزات ماینینگ بیت‌مین آغاز کرد

دولت ایالات متحده به‌طور پنهانی یک تحقیق فدرال را درباره شرکت Bitmain Technologies، سازنده چینی که به‌عنوان بزرگ‌ترین تولیدکننده سخت‌افزار استخراج بیت‌کوین شناخته می‌شود، آغاز کرده است. این بررسی که تحت هدایت مأمورانی از وزارت امنیت داخلی آمریکا (Department of Homeland Security) و با نام رمز «Operation Red Sunset» انجام می‌شود، با هدف ارزیابی احتمال تهدیدات امنیت ملی ناشی از دستگاه‌های بیت‌مین دنبال می‌شود. ملاحظات اصلی شامل احتمال بهره‌برداری برای جاسوسی، امکان کنترل از راه دور و نیز توانایی ایجاد اختلال در زیرساخت‌های حیاتی مانند شبکه برق ایالات متحده است. در این تحقیق تمرکز ویژه‌ای بر روی ریسک‌های مرتبط با سفت‌افزار (firmware)، سوابق تولید و نقاط آسیب‌پذیر سخت‌افزاری قرار دارد تا مشخص شود آیا این دستگاه‌ها می‌توانند به‌عنوان راهی برای نفوذ یا بمب‌گذاری نرم‌افزاری مورد استفاده قرار گیرند یا نه.

دامنه و محرک‌های بررسی

توجه رسانه‌ها و نهادهای نظارتی پس از آن افزایش یافت که ارزیابی‌های اولیه نشان داد چند واحد ماینر ساخت بیت‌مین در نزدیکی یک پایگاه نظامی ایالات متحده مستقر شده‌اند؛ موضوعی که مقامات را وادار کرد آن استقرار را به‌عنوان یک تهدید بالقوه امنیت ملی طبقه‌بندی کنند. در گزارش کمیته اطلاعات سنا که در ماه ژوئیه منتشر شد، هشدار داده شده است که برخی از سخت‌افزارهای بیت‌مین ممکن است شامل چندین آسیب‌پذیری قابل بهره‌برداری باشند که می‌تواند دسترسی از راه دور را امکان‌پذیر سازد. منابع آگاه به بلومبرگ گفته‌اند که دامنه بررسی تنها محدود به مسائل فنی نیست و شامل بررسی احتمالی نقض قوانین مربوط به تعرفه‌های وارداتی، مالیات گمرکی و تطابق با مقررات واردات نیز می‌شود. این بررسی گسترده تلاش می‌کند منشأ زنجیره تأمین، محل‌های مونتاژ، و نقاطی از فرایند تولید که بیشترین ریسک را ایجاد می‌کنند شناسایی کند؛ به‌ویژه در شرایطی که زنجیره تأمین بین‌المللی می‌تواند مسیرهای مستقیم یا غیرمستقیم برای قرار گرفتن در معرض بدافزارها و دسترسی‌های مخفی فراهم آورد.

Operation Red Sunset and DHS approach

عملیات «Red Sunset» به‌صورت محرمانه و با احتیاط انجام می‌شود و وزارت امنیت داخلی تا کنون از ارائه جزئیات عمومی درباره مراحل تحقیق خودداری کرده است. مقامات می‌گویند که این بررسی بسیار گسترده و نظام‌مند است و هم ابعاد فنی امنیتی و هم خطرات زنجیره تأمین مرتبط با تجهیزات ماینینگ رمزنگاری را مورد سنجش قرار می‌دهد. تیم‌های امنیتی فدرال در آمریکا روز‌به‌روز بیش‌تر روی ریسک‌های زنجیره تأمین در اکوسیستم بلاک‌چین تمرکز می‌کنند، چون سخت‌افزار ماینینگ می‌تواند به یک کانال برای به‌خطر انداختن شبکه‌ها و زیرساخت‌ها تبدیل شود. این رویکرد شامل تحلیل‌های رفتاری فریمورها (firmware)، بررسی کدهای روی تراشه‌ها، تحلیل بسته‌بندی و مسیرهای حمل‌ونقل، و همچنین بازبینی سوابق تامین‌کنندگان و تأیید مالکیت معنوی است. در کنار این اقدامات، احتمال استفاده از تست‌های نفوذ (penetration testing)، آنالیز ترافیک شبکه تولید‌کننده و بررسی پروتکل‌های به‌روزرسانی نرم‌افزاری نیز وجود دارد تا مشخص شود آیا دستگاه‌ها به‌طور بالقوه قابلیت نصب درپشتی (backdoor)، کتابخانه‌های مخفی یا مکانیسم‌های بازگشت غیرقابل مشاهده را دارند یا خیر.

روابط تجاری، سیاست و نگرانی‌های تضاد منافع

این تحقیق پس از انتشار گزارش‌هایی مبنی بر امضای قراردادی میان بیت‌مین و American Bitcoin Corp برای فروش ۱۶٬۰۰۰ دستگاه ماینر بیت‌کوین، مورد توجه بیشتری قرار گرفت؛ شرکتی که گفته می‌شود از سوی اریک ترامپ و دونالد ترامپ جونیور حمایت می‌شود. این پیوند خانوادگی و ارتباطات نزدیک با چهره‌های سیاسی برجسته باعث ایجاد بحث و جدل درباره احتمال تضاد منافع شده است، به‌ویژه در زمانی که وعده‌ها و برنامه‌های سیاسی برای تبدیل ایالات متحده به یک هاب جهانی رمزنگاری مطرح شده‌اند. منتقدان، از جمله مشاور سابق کاخ سفید ریچارد پینتر، هشدار داده‌اند که روابط تجاری شامل افراد پرسر و صدا و قدرتمند سیاسی ممکن است ریسک‌های اقتصادی و امنیتی را افزایش دهد. در این زمینه نگرانی‌هایی هم از دید قوانین شفافیت دولتی و هم از منظر امنیت ملی مطرح است؛ زیرا ارتباطات تجاری با بازیگران سیاسی می‌تواند فرآیندهای نظارتی و تصمیم‌گیری درباره واردات تجهیزات حساس را تحت تأثیر قرار دهد. علاوه بر این، تعیین اینکه چه کسانی مسئول تصمیم‌گیری در شرکت‌هایی هستند که تجهیزات حساس را وارد و توزیع می‌کنند، برای ارزیابی ریسک‌های احتمالی تضاد منافع بسیار مهم است.

Responses from Bitmain and American Bitcoin Corp

بیت‌مین هرگونه ادعا درباره امکان کنترل از راه دور یا استفاده از دستگاه‌هایش به‌عنوان سلاح سایبری را رد کرده و تأکید نموده که شرکت طبق قوانین ایالات متحده عمل می‌کند و هرگز تهدیدی برای امنیت ملی نبوده است. American Bitcoin Corp نیز اعلام کرده که تجهیزات را تحت آزمایش‌های امنیتی سخت‌گیرانه قرار داده و هیچ آسیب‌پذیری‌ای را که اجازه دسترسی از راه دور بدهد، نیافته است. کاخ سفید نیز اتهامات مربوط به عدم شفافیت یا سوءِ استفاده در معامله را بی‌اساس دانسته است. با این حال پاسخ‌های رسمی شرکت‌ها معمولاً نقطه شروع برای مباحث فنی و حقوقی هستند و قضاوت نهایی بر عهده نتایج تحقیقات مستقل و بررسی‌های فنی دقیق خواهد بود. تحلیلگران امنیت سایبری معمولاً توصیه می‌کنند که گزارش‌های تست فنی و پروتکل‌های تأیید اصالت سخت‌افزار به‌طور عمومی یا در قالب محرمانه اما قابل اتکا در اختیار مقامات قرار گیرد تا نگرانی‌ها کاهش یابد و اعتماد بازار حفظ شود.

این موضوع چه معنایی برای صنعت استخراج رمزنگاری دارد

اگرچه نتیجه نهایی عملیات «Red Sunset» هنوز نامشخص است، این پرونده نشانگر تشدید نظارت‌های نظارتی بر سخت‌افزار استخراج رمزارزها، بهداشت زنجیره تأمین و یکپارچگی نرم‌افزار است. ماینرها، صرافی‌ها و اپراتورهای زیرساخت باید انتظار داشته باشند که حسابرسی‌های امنیتی سخت‌گیرانه‌تری اعمال شود و نظارت‌های قانونی بیشتری برای بررسی منشأ تجهیزات، آسیب‌پذیری‌های فِرم‌ویر و تطابق با مقررات واردات برقرار گردد. در عرصه عملیاتی، شرکت‌ها احتمالاً اولویت‌هایی همچون انجام حسابرسی‌های منظم فِرم‌ویر و سخت‌افزار، بررسی‌های مستمر منشأ قطعات (hardware provenance)، مکانیزم‌های کنترل زنجیره تأمین و مستندسازی کامل فرآیندهای تولید و ارسال را در دستور کار قرار خواهند داد تا ریسک آینده کاهش یابد. این تغییرات ممکن است منجر به افزایش هزینه‌های عملیاتی، نیاز به استانداردهای جدید برای تأیید اصالت تجهیزات و الزام به گزارش‌دهی بیشتر به نهادهای نظارتی شود. از منظر اقتصادی، محدودیت احتمالی در واردات یا الزام به گواهی‌نامه‌های اضافی می‌تواند عرضه ماینرها را محدود کند و تأثیراتی بر قیمت و نرخ هش شبکه‌های عمومی بیت‌کوین به دنبال داشته باشد.

Next steps and ongoing oversight

یک مقام ارشد آمریکایی که نامش فاش نشده اعلام کرده که دولت به‌طور نزدیک این تهدیدات را ردیابی خواهد کرد و تحقیقات با دقت و توجه ویژه به پیامدهای امنیت ملی ادامه می‌یابد. برای جامعه جهانی رمزنگاری، این تحقیق یادآور اهمیت امنیت سخت‌افزاری و شفافیت در زنجیره تأمین است که اکنون به‌عنوان عناصر اصلی تاب‌آوری بلاک‌چین و اعتماد سرمایه‌گذاران محسوب می‌شوند. در کوتاه‌مدت، افزایش تعامل میان تولیدکنندگان سخت‌افزار، شرکت‌های بازرسی مستقل، و نهادهای تنظیمی محتمل به نظر می‌رسد تا استانداردها و چارچوب‌های مشترکی برای تضمین امنیت ارائه شود. در بلندمدت، ممکن است شاهد الزامات جدیدی برای گواهی‌نامه‌های امنیتی، سیاست‌های وارداتی و شفاف‌سازی ارتباطات تجاری با بازیگران سیاسی باشیم تا هم ریسک‌های فناورانه و هم ریسک‌های سیاسی به شیوه‌ای سازگار مدیریت گردد. به‌طور کلی، ترکیبی از بازرسی فنی، پیگیری منشأ زنجیره تأمین، و اقدامات قانونی برای تضمین انطباق با مقررات بین‌المللی می‌تواند به کاهش مخاطرات کمک کند و به سرمایه‌گذاران و اپراتورها اطمینان لازم را بدهد.

نکته فنی مهم این است که ارزیابی‌های سفت‌افزاری باید شامل تحلیل نسخه‌های فِرم‌ویر نصب‌شده، امضاهای دیجیتال بسته‌های به‌روزرسانی، و مکانیزم‌های رمزنگاری برای محافظت از کانال‌های بروزرسانی باشد. همچنین تحلیل سطوح دسترسی سیستم‌عامل‌های تعبیه‌شده، فرآیندهای بوت امن (secure boot)، و بررسی ماژول‌های ارتباطی (مانند مودم‌ها یا ماژول‌های شبکه) که ممکن است در مسیر حمل‌ونقل داده قرار گیرند، از اولویت‌ها به‌شمار می‌آیند. از منظر حقوقی و تجاری، قراردادهای خرید بزرگ باید شامل بندهای بازرسی امنیتی، تعیین مسئولیت در صورت کشف نقص‌های امنیتی و شفاف‌سازی مالکیت نهایی تجهیزات باشد تا ریسک‌های ناشی از معاملات بزرگ کاهش یابد.

در حوزه سیاست‌گذاری هم، قانون‌گذاران ممکن است به تدوین چارچوب‌هایی برای طبقه‌بندی سخت‌افزار حساس بپردازند و الزاماتی مثل ثبت تولیدکنندگان، گزارش مسیرهای زنجیره تأمین و استانداردهای تضمین کیفیت را مطرح کنند. این روند می‌تواند همزمان فرصت‌هایی برای شرکت‌های بومی و تولیدکنندگان دارای استانداردهای بالای امنیتی فراهم آورد و بازار را به سمت شفافیت و اعتبارپذیری بیشتر سوق دهد. در نهایت، همکاری بین‌المللی برای تبادل اطلاعات درباره تهدیدات زنجیره تأمین و استانداردهای فنی می‌تواند به کاهش اثرات منفی احتمالی کمک کند.

برای اپراتورهای مراکز استخراج نیز توصیه می‌شود برنامه‌های پاسخ به رخداد (incident response) و فرآیندهای قرنطینه‌سازی دستگاه‌ها را تقویت کنند، سیاست‌های کنترل دسترسی فیزیکی را بازنگری نمایند و به‌صورت منظم اسکن‌های آسیب‌پذیری و تست نفوذ را انجام دهند. این اقدامات به همراه مستندسازی کامل چرخه عمر تجهیزات از تولید تا نصب و نگهداری می‌تواند در زمان مواجهه با بررسی‌های قانونی و فنی، جوابی قابل اتکا ارائه دهد.