ارز دیجیتال
اشتراک گذاری مطلب
اخبار

بزرگ‌ترین هک صرافی‌ اتفاق افتاد: ۱.۵ میلیارد دلار از Bybit دزدیده شد – دیفایر

9425
admin
1 دقیقه مطالعه

چکیده:

هک ۱.۵ میلیارد دلاری Bybit بزرگ‌ترین حمله به یک صرافی ارز دیجیتال تاکنون محسوب می‌شود.
محققان امنیتی اتریوم معتقدند که گروه هکری لازاروس، وابسته به کره شمالی، به دستگاه‌های امضاکنندگان کیف پول سرد چندامضایی Bybit نفوذ کرده و از طریق یک امضای کور، تراکنش مخرب را تأیید کرده است.
این نوع حملات ترکیبی به دلیل سودهای کلان، به‌طور فزاینده‌ای در دنیای کریپتو در حال گسترش است.

بزرگ‌ترین هک تاریخ کریپتو توسط لازاروس

روز جمعه، گروه هکری لازاروس، وابسته به دولت کره شمالی، بزرگ‌ترین حمله به یک صرافی متمرکز را رقم زد و بیش از ۱.۵ میلیارد دلار از دارایی‌های اتریوم (ETH) و توکن‌های مرتبط را از Bybit به سرقت برد. اکنون، ساعاتی پس از این حمله، محققان امنیتی اتریوم در حال بررسی نحوه وقوع این حمله و ارزیابی خطرات مشابه برای سایر پلتفرم‌ها هستند.

بن ژو، مدیرعامل Bybit، در بیانیه‌ای تأیید کرد که این حمله از طریق کیف پول سرد اتریوم این صرافی انجام شده است. نحوه دقیق وقوع آن می‌تواند تأثیرات گسترده‌ای بر کل صنعت داشته باشد.

طبق بررسی‌های اولیه، این صرافی متوجه فعالیت مشکوک در زمان انجام یک انتقال روتین از کیف پول چندامضایی سرد به کیف پول گرم خود شد. اما این تراکنش توسط حمله‌ای پیشرفته دستکاری شده بود که منطق قرارداد هوشمند را تغییر داده و رابط امضا را مخفی کرده بود. به این ترتیب، مهاجمان توانستند کنترل کیف پول سرد اتریوم را به دست بگیرند. در نتیجه، بیش از ۴۰۰,۰۰۰ واحد ETH و stETH به ارزش ۱.۵ میلیارد دلار به آدرسی ناشناس منتقل شد.

روش هکرها: تقسیم و پراکندگی وجوه

پس از سرقت، هکرها همانند حملات قبلی خود، وجوه را در چندین کیف پول توزیع کردند. در مجموع، آن‌ها موفق به سرقت مقادیر زیر شدند:

۴۰۱,۳۴۷ ETH به ارزش ۱.۱۲ میلیارد دلار
۹۰,۳۷۶ stETH به ارزش ۲۵۳.۱۶ میلیون دلار
۱۵,۰۰۰ cmETH به ارزش ۴۴.۱۳ میلیون دلار
۸,۰۰۰ mETH به ارزش ۲۳ میلیون دلار

در ادامه، مهاجمان این توکن‌ها را در صرافی‌های غیرمتمرکز تبدیل کردند تا ردیابی آن‌ها دشوارتر شود.

نقش Safe{Wallet} در این حمله

Bybit اعلام کرده که در حال بررسی علت اصلی این رخنه امنیتی است و توجه ویژه‌ای به یک آسیب‌پذیری احتمالی در Safe{Wallet} دارد؛ کیف پول چندامضایی غیرحضانتی که توسط بسیاری از پروتکل‌ها و صرافی‌های دیگر برای افزایش امنیت استفاده می‌شود.

تیم امنیتی Bybit معتقد است که پلتفرم Safe ممکن است در فرآیند تراکنش مورد سوءاستفاده قرار گرفته باشد. حدود یک ساعت پس از هک، ژو در یک پست (که بعداً حذف شد) اعلام کرد که به دنبال ارتباط با تیم Safe است.

تیم Safe، که در سال ۲۰۲۲ از Gnosis جدا شد، تأیید کرده که در حال همکاری نزدیک با Bybit برای بررسی این حمله است. در همین حال، برخی قابلیت‌های Safe{Wallet} موقتاً غیرفعال شده‌اند.

نحوه اجرای حمله: امضای کور و فریب کاربران

تحقیقات اولیه نشان می‌دهد که احتمالاً لازاروس از طریق آلوده‌کردن دستگاه‌های امضاکنندگان چندامضایی Bybit، این حمله را انجام داده است. مهاجمان توانسته‌اند یک صفحه جعلی از کیف پول Safe ایجاد کنند که به نظر واقعی می‌رسید، اما در پس‌زمینه تراکنش‌های مخرب را امضا می‌کرد.

اودیسیوس، بنیان‌گذار پروتکل امنیتی Phalanx، توضیح می‌دهد:

«این حمله به احتمال زیاد ناشی از آلوده‌بودن دستگاه‌های امضاکنندگان بود که در آن، مهاجمان یک صفحه جعلی Safe نمایش دادند تا کاربران تراکنش اشتباهی را امضا کنند. آن‌ها از این واقعیت سوءاستفاده کردند که کیف پول‌های سخت‌افزاری فقط هش امضا را نمایش می‌دهند، نه جزئیات تراکنش را.»

آیا حمله داخلی بوده است؟

تحلیلگران امنیتی هنوز مطمئن نیستند که چگونه کد مخرب به امضاکنندگان کیف پول سرد Bybit منتقل شده است. اما شواهدی وجود دارد که احتمال همکاری یک فرد داخلی را تقویت می‌کند.

برای موفقیت در این حمله، لازاروس باید هر یک از امضاکنندگان را شناسایی، دستگاه آن‌ها را آلوده و آن‌ها را متقاعد می‌کرد که در حال امضای یک تراکنش قانونی هستند، بدون اینکه شک کسی برانگیخته شود.

در ماه‌های اخیر، نگرانی‌ها درباره خطر استخدام توسعه‌دهندگان مرتبط با کره شمالی در شرکت‌های فناوری افزایش یافته است. لازاروس نیز سابقه نفوذ به سازمان‌ها از طریق عوامل داخلی را دارد.

شباهت با حملات گذشته

تحلیلگران امنیتی اشاره کرده‌اند که این حمله الگوی مشابهی با دو هک بزرگ دیگر دارد:

هک ۵۰ میلیون دلاری Radiant در اکتبر ۲۰۲۴
هک ۲۳۰ میلیون دلاری WazirX در جولای ۲۰۲۴

در حمله Radiant، هکرها با ارسال یک فایل زیپ مخرب از طریق تلگرام، به سیستم‌های شرکت نفوذ کردند. در روز حمله، لپ‌تاپ‌های توسعه‌دهندگان به اشتباه نمایش می‌دادند که کیف پول سخت‌افزاری آن‌ها با Safe در تعامل است، در حالی که تراکنش‌های مخرب در پس‌زمینه اجرا می‌شد.

در مورد Bybit، تحلیلگران معتقدند لازاروس دو روز پیش از حمله، یک تست اولیه انجام داده و امضاهای موردنیاز را جمع‌آوری کرده است. سپس، آن‌ها نسخه‌ای جعلی از Safe را با استفاده از تابع delegatecall در اتریوم جایگزین کردند تا کنترل کیف پول را به دست بگیرند.

راه‌های مقابله با این نوع حملات

با وجود اینکه مدیرعامل Bybit تلاش کرده Safe را مقصر جلوه دهد، اما تحلیلگران امنیتی می‌گویند که می‌توانستند با فعال‌کردن قابلیت‌هایی مانند timelock در کیف پول‌ها، جلوی این حمله را بگیرند.

اودیسیوس توضیح می‌دهد:

«کیف پول سخت‌افزاری بی‌فایده است اگر تراکنش در یک لپ‌تاپ یا گوشی متصل به اینترنت امضا شود.»

آیدو بن ناتان، بنیان‌گذار Blockaid، نیز می‌گوید:

«این حمله فقط یک اشتباه عملیاتی نبود، بلکه یک حمله پیشرفته و هدفمند بود که تهدیدی برای کل صنعت کریپتو محسوب می‌شود.»


در نهایت، تحلیلگران امنیتی هشدار داده‌اند که هر کسی که با کیف پول‌های چندامضایی و مبالغ چندمیلیون یا میلیارد دلاری کار می‌کند، در معرض خطر است.

تیلور موینهان، مدیر امنیتی متامسک، می‌گوید:

«به این امید که کسی آلوده نشود، تکیه نکنید.» او افزود: «آن‌ها آلوده خواهند شد. آن‌ها آلوده می‌شوند. هر روز.»

منبع: theblock.co

منبع خبر

0 0 رای ها
امتیازدهی به مقاله
اشتراک در
اطلاع از
guest
0 نظرات
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها