بزرگترین هک تاریخ کریپتو؛ لازاروس ۱.۴ میلیارد دلار از Bybit دزدید

جدول زمانی: چگونه اتریوم گمشده Bybit از ماشین پولشویی کره شمالی عبور کرد

هک ۱.۴ میلیارد دلاری Bybit نه تنها بزرگترین سوءاستفاده در تاریخ کریپتو بود، بلکه آزمونی بزرگ برای توانایی‌های مدیریت بحران این صنعت بود و نشان‌دهنده بلوغ آن از زمان فروپاشی FTX بود. در ۲۱ فوریه، گروه لازاروس کره شمالی ۱.۴ میلیارد دلار اتر (ETH) و توکن‌های مرتبط را در یک نفوذ به سرقت برد که در ابتدا باعث وحشت در سراسر دنیای کریپتو شد، اما به سرعت با حمایت صنعت از Bybit برای مدیریت پیامدها، آرام شد. در اینجا نگاهی به چگونگی وقوع این حمله، واکنش Bybit و جابجایی وجوه سرقتی داریم.

هک Bybit اولین بار توسط محقق زنجیره‌ای ZachXBT مشاهده شد که به پلتفرم‌ها و صرافی‌ها هشدار داد تا آدرس‌های مرتبط با این هک را در لیست سیاه قرار دهند. به زودی پس از آن، بن ژو، یکی از بنیانگذاران و مدیرعامل Bybit، این نفوذ را تأیید کرد و شروع به ارائه به‌روزرسانی‌ها و اطلاعات در مورد این نقض کرد. گزارشی از Chainalysis در ابتدا اعلام کرد که لازاروس از حملات فیشینگ برای دسترسی به وجوه صرافی استفاده کرده است، اما این تحلیل بعداً به‌روزرسانی شد و گزارش شد که هکرها کنترل رایانه یک توسعه‌دهنده Safe را به دست آورده‌اند، نه اینکه سیستم‌های Bybit را به خطر بیندازند. مهاجمان موفق شدند حدود ۴۰۱,۰۰۰ ETH به ارزش ۱.۱۴ میلیارد دلار در زمان نفوذ را "بازمسیر" کنند و آن را از طریق شبکه‌ای از کیف پول‌های واسطه منتقل کنند.

این صرافی به سرعت به کاربران اطمینان داد که کیف پول‌های باقی‌مانده آن ایمن هستند و دقایقی پس از تأیید نفوذ توسط ژو اعلام کرد که "تمام کیف پول‌های سرد دیگر Bybit کاملاً ایمن هستند. تمام وجوه مشتریان ایمن است و عملیات ما بدون هیچ گونه اختلالی به طور عادی ادامه دارد." چند ساعت پس از هک، برداشت‌های مشتریان همچنان باز بود. ژو در یک جلسه پرسش و پاسخ اعلام کرد که صرافی در آن زمان ۷۰٪ از درخواست‌های برداشت را تأیید و پردازش کرده است. پلتفرم مالی غیرمتمرکز Ethena به کاربران خود اعلام کرد که استیبل کوین سودآور آن، USDe، پس از هک همچنان معتبر است. این پلتفرم گزارش شده است که ۳۰ میلیون دلار در معرض مشتقات مالی Bybit قرار داشت، اما توانست از طریق صندوق ذخیره خود، زیان‌ها را جبران کند.

تعدادی از صرافی‌های کریپتو برای کمک به Bybit اقدام کردند. گریسی چن، مدیرعامل Bitget، اعلام کرد که صرافی او حدود ۴۰,۰۰۰ ETH (حدود ۹۵ میلیون دلار در آن زمان) به Bybit قرض داده است. کریس مارشالک، مدیرعامل Crypto.com، گفت که تیم امنیتی شرکت خود را برای ارائه کمک هدایت خواهد کرد. سایر صرافی‌ها و نهادها شروع به مسدود کردن وجوه مرتبط با این هک کردند. پائولو آردوینو، مدیرعامل Tether، در X اعلام کرد که این شرکت ۱۸۱,۰۰۰ USDt (USDT) مرتبط با این هک را مسدود کرده است. مدیر امنیت اطلاعات Polygon، مودیت گوپتا، گفت که تیم Mantle توانسته است حدود ۴۳ میلیون دلار از وجوه را از هکرها بازیابی کند. ژو در X یک یادداشت تشکر منتشر کرد و تعدادی از شرکت‌های برجسته کریپتو را که به Bybit کمک کرده بودند، از جمله Bitget، Galaxy Digital، بنیاد TON و Tether، برچسب‌گذاری کرد.

Bybit همچنین یک برنامه جایزه با پاداشی تا ۱۰٪ از وجوه بازیابی شده اعلام کرد و تا ۱۴۰ میلیون دلار را در دسترس قرار داد. پس از این حادثه، برداشت‌های کاربران ارزش کل دارایی‌های صرافی را بیش از ۵.۳ میلیارد دلار کاهش داد. با وجود هجوم برداشت‌ها، صرافی درخواست‌های برداشت را باز نگه داشت، اگرچه با تأخیر، و حسابرس مستقل اثبات ذخایر Bybit، Hacken، تأیید کرد که ذخایر همچنان بیشتر از بدهی‌ها است.

در همین حال، ردیابی‌های بلاکچین نشان داد که لازاروس به تقسیم وجوه به کیف پول‌های واسطه ادامه داده است و حرکت آنها را بیشتر مبهم کرده است. به عنوان مثال، شرکت تحلیل بلاکچین Lookonchain اعلام کرد که لازاروس ۱۰,۰۰۰ ETH به ارزش نزدیک به ۳۰ میلیون دلار را به کیف پولی به نام "Bybit Exploiter 54" منتقل کرده است تا وجوه را پولشویی کند. شرکت امنیت بلاکچین Elliptic نوشت که این وجوه احتمالاً به سمت یک میکسر - سرویسی که ارتباطات بین تراکنش‌های بلاکچین را پنهان می‌کند - هدایت می‌شوند، اگرچه "این ممکن است به دلیل حجم زیاد دارایی‌های سرقتی چالش‌برانگیز باشد."

تحلیلگران بلاکچین ZachXBT و Nick Bax هر دو ادعا کردند که هکرها توانسته‌اند وجوه را در صرافی کریپتو بدون احراز هویت eXch پولشویی کنند. ZachXBT ادعا کرد که eXch ۳۵ میلیون دلار از وجوه را پولشویی کرده و سپس به طور تصادفی ۳۴ ETH را به یک کیف پول داغ در صرافی دیگری ارسال کرده است.

eXch انکار کرد که برای کره شمالی وجوه را پولشویی کرده است، اما اعتراف کرد که "بخش ناچیزی از وجوه هک ByBit" را پردازش کرده است. این وجوه "در نهایت وارد آدرس ما 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123 شدند که یک مورد جداگانه بود و تنها بخشی بود که توسط صرافی ما پردازش شد و کارمزد آن برای منافع عمومی اهدا خواهد شد"، eXch گفت.

برای کمک به شناسایی کیف پول‌هایی که در این حادثه دخیل بودند، Bybit یک رابط برنامه‌نویسی کاربردی (API) کیف پول‌های لیست سیاه منتشر کرد. این صرافی گفت که این ابزار به هکرهای کلاه سفید در برنامه جایزه مذکور کمک خواهد کرد. Bybit همچنین توانست ذخایر اتر خود را تقریباً به نصف مقدار قبل از هک بازگرداند، عمدتاً از طریق خریدهای اسپات در معاملات خارج از بورس پس از این حادثه، اما همچنین شامل اتر قرض گرفته شده از سایر صرافی‌ها.

محققان بلاکچین همچنان جریان وجوه مرتبط با لازاروس را زیر نظر داشتند. Arkham Intelligence آدرس‌های مرتبط با هکرها را در صرافی‌های غیرمتمرکز (DEX) مشاهده کرد که سعی در معامله کریپتو سرقتی برای Dai (DAI) داشتند. گزارش شده است که یک کیف پول که بخشی از ETH سرقتی از Bybit را دریافت کرده بود، با Sky Protocol، Uniswap و OKX DEX تعامل داشته است. طبق گزارش پلتفرم معاملاتی LMK، هکر توانسته است حداقل ۳.۶۴ میلیون دلار را مبادله کند. برخلاف سایر استیبل کوین‌ها مانند USDT و USDC، Dai قابل مسدود شدن نیست.

ژو اعلام کرد که Bybit "به طور کامل شکاف ETH را بسته است" - یعنی جایگزینی ۱.۴ میلیارد دلار اتر از دست رفته در هک. اعلامیه او با گزارش اثبات ذخایر شخص ثالث همراه بود.

Bybit یک وب‌سایت اختصاصی برای تلاش‌های بازیابی خود راه‌اندازی کرد که ژو در حالی که از جامعه کریپتو خواست تا علیه گروه لازاروس متحد شوند، آن را تبلیغ کرد. این سایت بین کسانی که کمک کرده‌اند و کسانی که ظاهراً از همکاری خودداری کرده‌اند، تمایز قائل می‌شود.

این سایت افرادی و نهادهایی را که در مسدود کردن وجوه سرقتی کمک کرده‌اند، برجسته می‌کند و به آنها ۱۰٪ جایزه به طور مساوی بین گزارش‌دهنده و نهادی که وجوه را مسدود کرده است، اعطا می‌کند. همچنین eXch را به عنوان تنها پلتفرمی که از کمک خودداری کرده است، نام می‌برد و ادعا می‌کند که ۱۰۶۱ گزارش را نادیده گرفته است.

اداره تحقیقات فدرال ایالات متحده (FBI) تأیید کرد که هکرهای کره شمالی عامل نفوذ به Bybit بوده‌اند و بازیگران TraderTraitor، که در محافل امنیت سایبری به عنوان گروه لازاروس شناخته می‌شوند، را نام برد. در یک اطلاعیه خدمات عمومی، FBI از بخش خصوصی - از جمله اپراتورهای نود، صرافی‌ها و پل‌ها - خواست تا تراکنش‌های مرتبط با آدرس‌های لازاروس را مسدود کنند.

FBI ۵۱ آدرس بلاکچین مشکوک مرتبط با این هک را شناسایی کرد، در حالی که شرکت امنیت سایبری Elliptic بیش از ۱۱,۰۰۰ واسطه را شناسایی کرده است. در همین حال، تحقیقات پس از هک نشان داد که اعتبارنامه‌های SafeWallet به خطر افتاده منجر به این نفوذ شده است، نه از طریق زیرساخت Bybit، همانطور که قبلاً گزارش شده بود.

شرکت امنیتی TRM Labs سرعت تلاش‌های پولشویی هکرهای Bybit را "به طور خاص نگران‌کننده" توصیف کرد و گزارش داد که هکرها بیش از ۴۰۰ میلیون دلار را تا ۲۶ فوریه از طریق کیف پول‌های واسطه، تبدیل‌های کریپتو، پل‌های زنجیره‌ای متقابل و DEXها جابجا کرده‌اند. TRM همچنین خاطرنشان کرد که بیشتر عواید سرقتی به بیت کوین (BTC) تبدیل می‌شود، تاکتیکی که معمولاً با لازاروس مرتبط است. بیشتر بیت کوین تبدیل شده همچنان پارک شده باقی مانده است.

در همین حال، Arkham Intelligence دریافت که لازاروس حداقل ۲۴۰ میلیون دلار ETH را از طریق پروتکل زنجیره‌ای متقابل THORChain با مشکل مواجه شده با تبدیل آن به بیت کوین جابجا کرده است. Cointelegraph دریافت که حجم کل مبادلات THORChain در ۴۸ ساعت بیش از ۱ میلیارد دلار افزایش یافته است. توسعه‌دهنده THORChain "Pluto" پس از اینکه یک رأی برای مسدود کردن تراکنش‌های مرتبط با هکرهای کره شمالی لغو شد، اعلام کرد که بلافاصله از پروژه کناره‌گیری می‌کند. در همین حال، Lookonchain گزارش داد که هکرها ۵۴٪ از وجوه سرقتی را پولشویی کرده‌اند.

Bybit ممکن است توانسته باشد ذخایر از دست رفته خود را به طور کامل بازگرداند، اما این حادثه سؤالات بزرگتری را در مورد صنعت بلاکچین و نحوه رسیدگی به هک‌ها مطرح کرده است. توسعه‌دهنده اتریوم، تیم بیکو، به سرعت درخواست بازگرداندن شبکه اتریوم برای بازپرداخت Bybit را رد کرد. او گفت که این هک اساساً با حوادث قبلی متفاوت است و افزود که "ماهیت به هم پیوسته اتریوم و تسویه تراکنش‌های اقتصادی زنجیره‌ای و خارج از زنجیره، این کار را امروز غیرقابل حل می‌کند."

پیامدهای نفوذ به Bybit نشان می‌دهد که گروه لازاروس در جابجایی وجوه مبتنی بر بلاکچین کارآمدتر می‌شود. محققان TRM Labs مشکوک هستند که این ممکن است نشان‌دهنده بهبود زیرساخت‌های کریپتو کره شمالی یا بهبود توانایی شبکه مالی زیرزمینی در جذب وجوه غیرقانونی باشد. با افزایش ارزش قفل شده در پلتفرم‌های بلاکچین، پیچیدگی حملات نیز افزایش می‌یابد. این صنعت همچنان هدف اصلی هکرهای دولتی کره شمالی است که گزارش شده است درآمدهای خود را برای تأمین مالی برنامه تسلیحاتی خود استفاده می‌کنند.