فهرست مطالب
گزارشها حاکی از آن است که دیروز جمعه (3 اسفند 1403)، ۴۰۱,۳۴۶ واحد اتریوم (ETH) به ارزش ۱.۴ میلیارد دلار از صرافی بای بیت (ByBit) به سرقت رفت. بر اساس تحقیقات ZachXBT (محقق و کارآگاه ناشناس حوزه امنیت کریپتو)، گروه هکری معروف لازاروس (Lazarus) و منصوب به کره شمالی پشت این هک هستند. در ادامه درباره این گروه و چگونگی حمله به کیف پولهای سرد و امن صرافی بای بیت را میخوانید.
ماجرای هک صرافی بای بیت؛ دارایی کاربران چه می شود؟
دیروز صرافی بایبیت هک شد و طی آن حدود ۴۰۱,۳۴۶ واحد اتریوم (ETH) به ارزش ۱.۴ میلیارد دلار از کیف پول سرد این صرافی به سرقت رفت. کیف پولهای سرد (Cold Wallets) به دلیل عدم اتصال به اینترنت، یکی از امنترین روشهای ذخیره ارزهای دیجیتال محسوب میشوند، اما هکرها به آن نفوذ کردند. اما چطور؟ در ادامه روش سرقت بررسی شده است.
گزارشها نشان میدهد که هکرها بعد از سرقت، بخش بزرگی از داراییهای دیجیتالی را به کیف پولهای مختلف منتقل کرده و دستکم ۲۰۰ میلیون دلار اتریوم استیکشده (stETH) را در صرافیهای غیرمتمرکز فروختهاند. علت افت 2.5 درصدی قیمت اتریوم از دیروز ،مربوط به همین اقدام است.
مدیرعامل بایبیت بن ژو (Ben Zhou)، برای کاهش نگرانی کاربران در پلتفرم X اعلام کرد که این صرافی همچنان از لحاظ مالی در وضعیت پایداری قرار داشته و توانایی پشتیبانی و بازگشت کلیه داراییهای مشتریان را دارد.
تاثیر هک صرافی بای بیت روی قیمت اتریوم
حمله به صرافی بایبیت، علاوه بر اتریوم تاثیر قابلتوجهی روی کل بازار گذاشت. شاخص قدرت نسبی (RSI) اتریوم پس از این هک، بهسرعت از ۶۲.۸ به ۵۱.۶ افت کرد. (یعنی کاهش فعالیت خرید در بازار). طبق دیتای کوین مارکت کپ،در 24 ساعت گذشته قیمت اتریوم 2.5 درصد و ارزش بازار کل رمزارزها 2.03 درصد کاهش یافته است.
گروه لازاروس بایبیت را هک کردند!
بر اساس نتایج تحقیقات کارآگاه معروف کریپتو، زک ایکس بی تی (ZachXBT)، گروه لازاروس (Lazarus Goup) که بهعنوان یکی از بدنامترین گروههای هکری در حوزه رمزارز شناخته میشوند؛ مسئول هک ۱.۴ میلیارد دلاری صرافی بایبیت (Bybit) هستند.
او نشان داد مجموعهای از تراکنشهای آزمایشی و کیف پولهای مرتبط، مستقیما به گروه لازاروس متصل میشوند. این تحقیقات که در شبکه اجتماعی X منتشر شده، شامل نمودارهای دقیق و تحلیلهای مبتنی بر زمان بوده و برای کمک به تحقیقات بایبیت در اختیار این صرافی قرار گرفته است.
پلتفرم دادههای بلاکچین آرخام اینتلیجنس (Arkham Intelligence) برای هرگونه اطلاعاتی که بتواند به شناسایی هکرها منجر شود، ۵۰,۰۰۰ توکن ARKM جایزه تعیین کرده بود. اما بعد از بررسی شواهد ارائهشده توسط ZachXBT، هک بایبیت توسط گروه لازاروس را تایید کرد.
طبق گزارش منتشرشده، این گروه از روشهای پیچیدهای برای نفوذ به سیستمهای امنیتی استفاده کرده است. تحلیلهای دقیق نشان میدهد که چگونه تراکنشهای آزمایشی، کیف پولهای مرتبط و نمودارهای جرمشناسی، همگی به این گروه هکری ختم میشوند.
گروه هکری لازاروس چه کسانی هستند؟
گروه لازاروس سابقهای طولانی در حملات سایبری به پلتفرمهای رمزارزی دارد و برخی گمانهزنیها حاکی از حمایت دولت کره شمالی از این گروه است. این گمانهزنیها بر این باور استوارند که دولت کره شمالی از طریق این حملات، تحریمهای اقتصادی را دور میزند.
سابقه حملات گروه لازاروس در دنیای کریپتو
- در مارس ۲۰۲۲، این گروه ۶۲۵ میلیون دلار از شبکه Ronin (مربوط به بازی آکسی اینفینیتی) به سرقت برد.
- چند ماه بعد در ژوئن ۲۰۲۲، FBI آمریکا مسئول سرقت ۱۰۰ میلیون دلاری از پل Horizon (متعلق به شبکه Harmony) را لازاروس اعلام کرد.
- در سال ۲۰۲۴ هم این گروه بیش از ۳۰۰ میلیون دلار از صرافی DMM Bitcoin ژاپن سرقت کرد.
حملات مداوم این گروه نشان میدهد که آنها بهطور مداوم روشهای خود را برای سوءاستفاده از نقاط ضعف امنیتی تغییر میدهند. هک بایبیت نیز یک هشدار دیگر است که نشان میدهد امنیت داراییهای دیجیتال نیاز به تقویت بیشتری دارد.
در ژانویه ۲۰۲۵، ایالات متحده، ژاپن و کره جنوبی بیانیهای مشترک منتشر کردند و اعلام کردند که برای مقابله با تهدیدات گروه لازاروس، همکاری نزدیکی خواهند داشت.
بای بیت چطور هک شد؟
به گزارش کریپتو تایمز، مشابه سایر حملات بزرگ در فضای ارز دیجیتال، در مرکز این رخداد هم کیف پولهای چندامضایی (Multisig Wallets) قرار داشتند. بایبیت و سایر صرافیهای کریپتویی، برای افزایش امنیت دارایی کاربران از این کیف پولها استفاده میکنند. این کیف پولها برای انجام تراکنش نیاز به تایید چندین امضاکننده دارند.
روش Musking و فریب تیم بایبیت
هکرها در این حمله از تکنیکی پیچیده به نام Musking استفاده کردند. طبق گفته مدیرعامل بایبیت، Ben Zhou، این روش نوعی جعل رابط کاربری (UI Spoofing) است که اطلاعات تراکنش را برای امضاکنندگان تغییر داده و باعث میشود خروجی نهایی، برخلاف آنچه تصور میشود، پردازش شود.
مراحل اجرای این حمله به این صورت بوده است:
-
جعل رابط کاربری تراکنش
- هکرها توانستند رابط تراکنش بایبیت را که توسط شرکت امنیتی Safe تامین شده بود، دستکاری کنند و یک درخواست جعلی اما معتبر به نظر برسد.
-
فریب تیم امضاکننده بایبیت
- تیم بایبیت این تراکنش را بهعنوان یک انتقال معمولی تایید کرد. به نظر میرسد که مقدار تراکنش در ابتدا کم بوده و بعد از دریافت امضا، مقدار نهایی بهطور مخفیانه به کل موجودی کیف پول تغییر کرده است.
-
کنترل کامل کیف پول و خروج داراییها
- پس از تایید تراکنش، هکرها کنترل کیف پول را به دست گرفتند و داراییها را به آدرسهای ناشناس منتقل کردند. طبق گزارش Arkham Intelligence، حدود ۱.۳ میلیارد دلار اتریوم اکنون در ۵۳ کیف پول مختلف نگهداری میشود.
وضعیت فعلی داراییهای سرقتشده
بر خلاف هکهای قبلی، این بار هکرها هنوز داراییها را از طریق Tornado Cash یا سایر سرویسهای میکسر (Mixer) پنهان نکردهاند. این موضوع امیدی را برای ردیابی و بازیابی داراییها ایجاد کرده است، زیرا داراییها همچنان در بلاکچین اتریوم قابل ردیابی هستند.
با این وجود، هک اخیر بایبیت یک بار دیگر نگرانیهای امنیتی در صنعت کریپتو را افزایش داده است. هرچند پلتفرمهای معاملاتی از جدیدترین فناوریهای امنیتی استفاده میکنند، اما به نظر میرسد هکرها همواره یک قدم جلوتر هستند.
