بزرگترین هک تاریخ کریپتو؛ سرقت ۱.۴ میلیارد دلاری توسط هکرهای کره شمالی

انتشار گزارش SafeWallet درباره هک Bybit

توسعه‌دهنده SafeWallet گزارشی از جزئیات هک ۱.۴ میلیارد دلاری Bybit در فوریه منتشر کرده است. طبق تحلیل‌های انجام‌شده توسط SafeWallet و شرکت امنیت سایبری Mandiant، گروه هکری از توکن‌های نشست Amazon Web Services (AWS) یکی از توسعه‌دهندگان Safe سوءاستفاده کرده تا از تدابیر امنیتی احراز هویت چندمرحله‌ای عبور کند.

نحوه نفوذ هکرها

تنظیمات AWS SafeWallet ایجاب می‌کرد که اعضای تیم هر ۱۲ ساعت توکن‌های نشست AWS خود را مجدداً احراز هویت کنند. این امر باعث شد گروه هکری با ثبت یک دستگاه احراز هویت چندمرحله‌ای (MFA) تلاش به نفوذ کند. پس از چندین تلاش ناموفق، مهاجمان سیستم MacOS یکی از توسعه‌دهندگان را، احتمالاً از طریق بدافزار، به خطر انداختند و توانستند از توکن‌های نشست AWS در حین فعال بودن جلسات توسعه‌دهنده استفاده کنند. پس از دسترسی، هکرها در محیط AWS برای راه‌اندازی حمله اقدام کردند.

تأیید هویت هکرها و اقدامات بعدی

تحلیل‌های Mandiant همچنین تأیید کرد که هکرها عوامل دولتی کره شمالی بودند که ۱۹ روز برای آماده‌سازی و اجرای حمله زمان صرف کردند. این به‌روزرسانی تأکید کرد که این نفوذ امنیتی بر قراردادهای هوشمند Safe تأثیری نداشته و تیم توسعه Safe پس از این بزرگ‌ترین هک در تاریخ کریپتو، تدابیر امنیتی بیشتری را اعمال کرده است.

اداره تحقیقات فدرال ایالات متحده (FBI) با انتشار هشداری آنلاین از اپراتورهای نود خواست تا تراکنش‌های مربوط به آدرس‌های کیف پول مرتبط با هکرهای کره شمالی را مسدود کنند. FBI اعلام کرد که این وجوه به پول فیات تبدیل خواهند شد.

وضعیت فعلی وجوه سرقتی

از آن زمان، هکرهای Bybit ۱۰۰٪ از رمزارزهای سرقتی، شامل نزدیک به ۵۰۰,۰۰۰ توکن مرتبط با اتر، را در عرض تنها ۱۰ روز پولشویی کرده‌اند. در ۴ مارس، بن ژو، مدیرعامل Bybit، اعلام کرد که حدود ۷۷٪ از وجوه، به ارزش تقریبی ۱.۰۷ میلیارد دلار، همچنان در بلاکچین قابل ردیابی هستند، در حالی که تقریباً ۲۸۰ میلیون دلار ناپدید شده‌اند. با این حال، ددی لاوید، مدیرعامل شرکت امنیت سایبری Cyvers، گفت که تیم‌های امنیت سایبری ممکن است همچنان بتوانند برخی از وجوه سرقتی را ردیابی و مسدود کنند.