نمونه ای از هک‌ ارزهای دیجیتال و حمله به امنیت پلتفرم‌های بزرگ رمزارزی

بررسی آخرین اخبار مربوط به هک بای‌بیت

مدیرعامل بای‌بیت (Bybit) می‌گوید این صرافی کسری ذخایر اتریوم را جبران و گزارش حسابرسی‌شده اثبات ذخایر منتشر می‌کند

بِن ژو، یکی از بنیان‌گذاران و مدیرعامل بای‌بیت، اعلام کرد که این صرافی پس از تجربه تهاجم سایبری به ارزش ۱.۴ میلیارد دلار در ابتدای هفته، کسری ذخایر اتریوم خود را به‌طور کامل جبران کرده و قصد دارد گزارش اثبات ذخایر (PoR) را منتشر کند تا جای هیچ ابهامی باقی نماند.

جبران ذخایر و برنامه‌های آینده

ژو در بیانیه‌ای اظهار داشت:

«بای‌بیت کسری اتریوم را به‌طور کامل برطرف کرده است؛ یک گزارش جدید و حسابرسی‌شده اثبات ذخایر به‌زودی منتشر خواهد شد تا نشان دهد که دارایی‌های مشتریان به‌صورت ۱:۱ و از طریق درخت مرکل پشتیبانی می‌شوند.»

بِن ژو

بر اساس داده‌های زنجیره‌ای لوک‌آن‌چین، بای‌بیت این کمبود را از طریق وام‌های اضطراری، واریزهای نهنگ‌ها و خرید اتریوم از طریق بازار فروش مستقیم (OTC) جبران کرده است.

بزرگ‌ترین هک تاریخ ارزهای دیجیتال

در تاریخ ۲۱ فوریه، بای‌بیت با بزرگ‌ترین هک تاریخ ارزهای دیجیتال مواجه شد که طی آن بیش از ۴۰۰,۰۰۰ اتریوم به سرقت رفت. هکرها با استفاده از یک رابط کاربری جعلی، یک قرارداد هوشمند مخرب را پنهان کرده و فرآیند تأیید چند امضایی صرافی را دور زدند.

این حمله باعث شد بخش قابل‌توجهی از ذخایر اتریوم بای‌بیت تخلیه شود و نگرانی‌هایی در مورد نقدینگی و توانایی صرافی برای پردازش درخواست‌های برداشت کاربران ایجاد شود.

اقدامات بای‌بیت برای تثبیت نقدینگی

برای مقابله با این بحران، بای‌بیت وام‌های اضطراری کوتاه‌مدتی از شرکای خود در صنعت رمزارزها دریافت کرد. ژو این وام‌ها را «وام پل» توصیف کرد که برای تأمین نقدینگی در دوره انتقالی استفاده شده است.

همچنین، صرافی مقادیر زیادی اتریوم را از طریق بازارهای OTC خریداری کرد تا ذخایر خود را بازیابی کند. مدیرعامل بای‌بیت پیش‌تر تأکید کرده بود که صرافی همچنان از نظر مالی باثبات است و دارایی‌های خزانه و سود انباشته شرکت می‌تواند ضرر ناشی از این حمله را پوشش دهد.

نحوه اجرای حمله و نقش گروه لازاروس کره شمالی

این حمله، که به گروه لازاروس کره شمالی نسبت داده می‌شود، از کیف پول سرد چند امضایی بای‌بیت سوءاستفاده کرد. این کیف پول برای پردازش تراکنش‌های بزرگ و افزایش امنیت دارایی‌ها طراحی شده بود.

هکرها از یک روش پیچیده تحت عنوان «معامله پوششی» استفاده کردند که در آن رابط کاربری (UI) کیف پول به‌گونه‌ای تغییر داده شد که آدرس مقصد قانونی به نظر برسد. اما در لایه زیری، قرارداد هوشمند تراکنش به‌صورت مخرب تغییر داده شده بود.

پس از تأیید این تراکنش توسط امضاکنندگان، کنترل بیش از ۴۰۱,۳۴۷ اتریوم و سایر دارایی‌های مرتبط مانند اتریوم استیک‌شده (stETH) به آدرسی تحت کنترل هکرها منتقل شد.

چشم‌انداز آتی

با جبران ذخایر اتریوم، بای‌بیت اکنون توانایی پردازش درخواست‌های برداشت را دارد و قصد دارد گزارش اثبات ذخایر حسابرسی‌شده را منتشر کند. با این حال، این حادثه نشان‌دهنده آسیب‌پذیری‌های امنیتی در صرافی‌های متمرکز است و اهمیت تدابیر امنیتی پیشرفته را بیش از پیش برجسته می‌کند.

بزرگ‌ترین هک ارزهای دیجیتال؛ گروه لازاروس کره شمالی ۱.۵ میلیارد دلار از بای‌بیت سرقت کرد

در آنچه که به‌عنوان بزرگ‌ترین هک تاریخ ارزهای دیجیتال شناخته می‌شود، گروه هکری بدنام لازاروس از کره شمالی توانسته بالغ‌بر ۱.۵ میلیارد دلار از صرافی بای‌بیت سرقت کند. شرکت اطلاعات بلاکچین آرخام اینتلیجنس این ارتباط را تأیید کرده و به شواهد ارائه‌شده توسط محقق زنجیره‌ای زک‌ایکس‌بی‌تی (ZachXBT) استناد کرده است.

نحوه اجرای هک

مهاجمان از روشی به نام «امضای کور» (Blind Signing) استفاده کردند که امکان تأیید تراکنش‌ها بدون مشاهده کامل جزئیات آن‌ها را فراهم می‌کند. کیف پول سرد اتریوم بای‌بیت مورد حمله قرار گرفت و در نتیجه، دارایی‌هایی به ارزش ۱.۵ میلیارد دلار ابتدا به یک کیف پول منتقل و سپس بین چندین کیف پول توزیع شد.

ردیابی مهاجمان

پیش از آنکه آرخام اینتلیجنس ارتباط این هک را با لازاروس تأیید کند، بای‌بیت جایزه‌ای ۵۰ هزار دلاری برای ردیابی مهاجمان تعیین کرد. سپس کاربری به نام زک‌ایکس‌بی‌تی با ارائه یک تحلیل دقیق، مسیر انتقال وجوه دزدیده‌شده را از طریق تراکنش‌های آزمایشی و داده‌های جرم‌شناسی بلاکچین دنبال کرد. یافته‌های او شکی باقی نگذاشت که این حمله کار گروه لازاروس بوده است.

ایدو بن ناتان، مدیرعامل شرکت امنیت بلاکچینی بلاک‌اید، توضیح داد که حملات مبتنی بر امضای کور به استراتژی اصلی هکرهای پیشرفته، از جمله کره شمالی، تبدیل شده است. روش‌های مشابهی در حملات قبلی، مانند Radiant Capital و WazirX مورد استفاده قرار گرفته‌اند.

جابجایی وجوه سرقت‌شده

بر اساس داده‌های شرکت بلاکچینی نان‌سن، وجوه سرقت‌شده ابتدا در یک کیف پول اصلی ذخیره و سپس به بیش از ۴۰ کیف پول مختلف تقسیم شده است. مهاجمان تمام دارایی‌های stETH ،cmETH و mETH را به اتریوم تبدیل کرده و مبالغ ۲۷ میلیون دلاری را در چندین مرحله به بیش از ۱۰ کیف پول دیگر منتقل کردند. این روش، ردیابی و بازیابی وجوه را بسیار دشوارتر کرد.

جنگ سایبری کره شمالی و انگیزه‌های مالی

تحقیقات 10x Research نشان می‌دهد که حملات سایبری گروه لازاروس صرفاً اقدامات مجرمانه نیستند، بلکه بخشی از یک برنامه دولتی برای تأمین مالی پروژه‌های نظامی کره شمالی محسوب می‌شوند. دولت ایالات متحده برآورد کرده است که تا ۳۰ درصد از بودجه برنامه‌های موشکی کره شمالی از طریق جرایم سایبری مرتبط با رمزارزها تأمین می‌شود. هکرها از سنین پایین شناسایی و آموزش داده می‌شوند و برترین استعدادها برای تحصیلات پیشرفته سایبری به چین اعزام می‌شوند.

گروه لازاروس پیش‌تر مسئول هک‌های بزرگی مانند حمله به Ronin Network (۶۲۵ میلیون دلار)، KuCoin (۲۸۵ میلیون دلار) و Binance Bridge (۵۷۰ میلیون دلار) بوده است. روش‌های این گروه همواره در حال تکامل هستند و آن‌ها با بهره‌گیری از مهندسی اجتماعی و بدافزارها، حتی پلتفرم‌های بسیار ایمن را نیز هدف قرار می‌دهند.

همچنین، لازاروس برای پول‌شویی از پلتفرم‌های دیفای مانند یونی‌سواپ استفاده می‌کند، زیرا این پلتفرم‌ها نیازی به احراز هویت (KYC) ندارند. جالب اینجاست که اگر کره شمالی پشت این حمله باشد، از نظر میزان دارایی اتریوم، به چهاردهمین دارنده بزرگ این رمزارز تبدیل خواهد شد و از دارایی‌های ویتالیک بوترین، بنیان‌گذار اتریوم، پیشی خواهد گرفت.

واکنش بای‌بیت (bybit)

بن ژو، مدیرعامل بای‌بیت، تأیید کرد که علی‌رغم این سرقت، این صرافی از نظر مالی پایدار است. او اعتراف کرد که هکرها توانسته‌اند کنترل یک کیف پول سرد اتریوم را به دست بگیرند اما اطمینان داد که نقدینگی بای‌بیت همچنان سالم و باثبات باقی مانده است، حتی اگر وجوه سرقت‌شده بازیابی نشود.

با توجه به حملات مکرر گروه لازاروس به پلتفرم‌های بزرگ رمزارزی، این صنعت تحت فشار فزاینده‌ای برای تقویت امنیت در برابر چنین تهدیدات پیچیده‌ای قرار گرفته است.