دليل موجز للجدول الزمني لغسيل عملة ETH المسروقة من Bybit

المؤلف: يوهان يون، آرون وود؛ المترجم: دينج تونج، جولدن فاينانس

لم يكن اختراق Bybit بقيمة 1.4 مليار دولار هو أكبر هجوم في تاريخ العملات المشفرة فحسب، بل كان أيضًا اختبارًا رئيسيًا لقدرات إدارة الأزمات في الصناعة، مما يسلط الضوء على نضج الصناعة منذ انهيار FTX. لقد أثارت سرقة 1.4 مليار دولار من عملة الإيثريوم والرموز المرتبطة بها من قبل مجموعة لازاروس الكورية الشمالية في 21 فبراير/شباط حالة من الذعر في عالم العملات المشفرة، ولكن سرعان ما تم قمعها عندما تجمعت الصناعة خلف شركة بايبت لإدارة التداعيات. دعونا نلقي نظرة على كيفية وقوع الهجوم، وكيف استجابت Bybit، وأين ذهبت الأموال المسروقة. 21 فبراير: تم اختراق Bybit

تم اكتشاف اختراق Bybit لأول مرة بواسطة المحقق ZachXBT على السلسلة، والذي حذر المنصات والبورصات من إدراج العناوين المتعلقة بالاختراق في القائمة السوداء. وبعد فترة وجيزة، أكد المؤسس المشارك والرئيس التنفيذي لشركة Bybit، بن تشو، حدوث الاختراق وبدأ في تقديم التحديثات والمعلومات حول الاختراق. ذكر تقرير ما بعد الوفاة من Chainalysis في البداية أن Lazarus نفذ هجوم تصيد للوصول إلى أموال البورصة، ولكن تم تحديث التحليل لاحقًا للإبلاغ عن أن المتسللين سيطروا على أجهزة الكمبيوتر الخاصة بمطوري Safe بدلاً من اختراق أنظمة Bybit. تمكن المهاجم من "إعادة توجيه" ما يقرب من 401000 ETH، والتي تبلغ قيمتها 1.14 مليار دولار في وقت الهجوم، من خلال شبكة من المحافظ الوسيطة.

استخدم المتسللون شبكة معقدة من المحافظ والتبادلات والتحويلات عبر السلسلة لإخفاء الأموال. المصدر: Chainalysis 21 فبراير: Bybit تؤكد أن محافظها آمنة وملاءة Ethena طمأنت البورصة المستخدمين بسرعة أن محافظها المتبقية آمنة، وبعد دقائق من تأكيد الاختراق، أعلنت البورصة أن "جميع محافظ Bybit الباردة الأخرى تظل آمنة تمامًا. جميع أموال العملاء آمنة وعملياتنا مستمرة كالمعتاد دون أي انقطاع". بعد ساعات من الاختراق، ظلت عمليات سحب العملاء مفتوحة. وقال تشو خلال جلسة الأسئلة والأجوبة إن البورصة وافقت على 70% من طلبات السحب وعالجتها في ذلك الوقت. أخبرت منصة التمويل اللامركزي Ethena المستخدمين أن عملتها المستقرة ذات العائد USDe لا تزال قادرة على الوفاء بالتزاماتها المالية بعد تعرضها للاختراق. وذكرت التقارير أن المنصة كان لديها 30 مليون دولار من التعرض للمشتقات المالية على Bybit، لكنها تمكنت من تغطية الخسائر من خلال صندوق الاحتياطي الخاص بها.

22 فبراير: صناعة العملات المشفرة تمد يد المساعدة لشركة Bybit، وتم إدراج المتسللين على القائمة السوداء

تواصلت العديد من بورصات العملات المشفرة مع شركة Bybit للمساعدة. أعلنت الرئيسة التنفيذية لشركة Bitget، جراسي تشين، أن بورصتها أقرضت شركة Bybit حوالي 40 ألف ETH (حوالي 95 مليون دولار في ذلك الوقت). وقال الرئيس التنفيذي لشركة Crypto.com، كريس مارساليك، إنه سيوجه فريق الأمن بالشركة للمساعدة. وبدأت البورصات والمؤسسات الأخرى في تجميد الأموال المرتبطة بالاختراق. نشر الرئيس التنفيذي لشركة Tether، باولو أردوينو، على موقع X أن الشركة جمدت 181 ألف دولار أمريكي مرتبطة بالاختراق. وقال موديت جوبتا، كبير مسؤولي أمن المعلومات في بوليجون، إن فريق مانتل استعاد حوالي 43 مليون دولار من المتسللين.

نشر تشو خطاب شكر على X، وذكر بعض شركات التشفير المعروفة التي ساعدت Bybit، بما في ذلك Bitget وGalaxy Digital وTON Foundation وTether.

كما أعلنت شركة Bybit عن برنامج مكافآت بمكافآت تصل إلى 10% من الأموال المستردة، مع إجمالي جوائز يصل إلى 140 مليون دولار.

22 فبراير: عمليات سحب أموال، لازاروس تحول الأموال

بعد الحادث، تسببت عمليات سحب المستخدمين في انخفاض القيمة الإجمالية لأصول البورصة بأكثر من 5.3 مليار دولار. وعلى الرغم من الإقبال الشديد على عمليات السحب، فإن البورصة تبقي طلبات السحب مفتوحة، وإن كان ذلك مع بعض التأخير، كما أكد هاكين، المدقق المستقل لإثبات الاحتياطيات في شركة Bybit، أن الاحتياطيات لا تزال تفوق الالتزامات. وفي الوقت نفسه، تُظهر آثار blockchain أن Lazarus استمرت في تقسيم الأموال إلى محافظ وسيطة، مما أدى إلى مزيد من التعتيم على حركة الأموال. على سبيل المثال، قالت شركة تحليل blockchain Lookonchain إن Lazarus قد نقل 10000 ETH بقيمة تقارب 30 مليون دولار إلى محفظة تسمى "Bybit Exploiter 54" لبدء غسل الأموال.

كتبت شركة أمن بلوكتشين Elliptic أن الأموال ربما تم نقلها إلى خلاط (خدمة تخفي الروابط بين معاملات بلوكتشين)، على الرغم من أن "هذا قد يكون صعبًا بسبب الحجم الهائل للأصول المسروقة".

23 فبراير: eXch وBybit تواصلان استرداد الأموال، والقوائم السوداء تنمو

زعم محللو بلوكتشين ZachXBT وNick Bax أن المتسللين تمكنوا من غسل الأموال على بورصة العملات المشفرة التي لا تعرف عميلك eXch. تزعم ZachXBT أن eXch قامت بغسل 35 مليون دولار ثم أرسلت عن طريق الخطأ 34 ETH إلى محفظة ساخنة لبورصة أخرى. أنكرت شركة EXch غسل الأموال لصالح كوريا الشمالية لكنها اعترفت بمعالجة "جزء صغير من الأموال الناتجة عن اختراق ByBit". وقالت شركة eXch إن الأموال "انتهى بها الأمر في عنواننا 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123، وهي حالة معزولة والجزء الوحيد الذي تتم معالجته بواسطة بورصتنا، والذي سنحصل منه رسومًا لصالح الصالح العام".

للمساعدة في تحديد المحافظ المعنية بالحادث، أصدرت شركة Bybit واجهة برمجة تطبيقات المحفظة القائمة السوداء (API). وقالت البورصة إن الأداة ستساعد قراصنة القبعات البيضاء في تنفيذ برنامج المكافآت المذكور أعلاه. تمكنت شركة Bybit أيضًا من استعادة احتياطياتها من الإيثريوم إلى ما يقرب من نصف ما كانت عليه قبل الاختراق، وذلك في الغالب من خلال عمليات الشراء الفورية على بورصات OTC بعد الحادث، ولكن أيضًا عن طريق إقراض الإيثريوم من بورصات أخرى.

24 فبراير: ظهور Lazarus على DEX، Bybit يملأ فجوة ETH

يواصل محققو Blockchain مراقبة تدفقات الأموال المرتبطة بـ Lazarus. رصدت شركة Arkham Intelligence عناوين مرتبطة بالمخترق على البورصات اللامركزية (DEX) وهي تحاول تداول العملة المشفرة المسروقة مقابل Dai.

يقال إن المحفظة التي تلقت جزءًا من ETH المسروق من Bybit تفاعلت مع Sky Protocol وUniswap وOKX DEX. وبحسب منصة التداول LMK، تمكن المتسللون من تبادل ما لا يقل عن 3.64 مليون دولار.

على عكس العملات المستقرة الأخرى مثل USDT وUSDC، لا يمكن تجميد Dai. أعلن تشو أن شركة Bybit "غطت فجوة ETH بالكامل" - أي أنها قامت بتعويض 1.4 مليار دولار من Ethereum المفقودة في هجوم القراصنة. وتبع تصريحه تقرير شهادة احتياطي من جهة خارجية.

استعادت شركة Bybit احتياطياتها من الأثير إلى مستويات ما قبل الاختراق. المصدر: Darkfost

25 فبراير: المعركة ضد مجموعة لازاروس

أطلقت شركة Bybit موقعًا إلكترونيًا مخصصًا للترويج لجهود التعافي الخاصة بها، والتي روّج لها تشو بينما دعا مجتمع العملات المشفرة إلى الاتحاد ضد مجموعة لازاروس. ويميز الموقع بين أولئك الذين عرضوا المساعدة وأولئك الذين يُزعم أنهم رفضوا التعاون. وتشير التقارير إلى أنه تم تحويل ما يقرب من 95 مليون دولار إلى eXch. المصدر: LazarusBounty

يسلط التقرير الضوء على الأفراد والكيانات التي ساعدت في تجميد الأموال المسروقة ويمنحهم مكافأة بنسبة 10%، مقسمة بالتساوي بين المبلغ عن المخالفات والكيان الذي جمد الأموال. وأشار التقرير أيضًا إلى أن eXch كانت المنصة الوحيدة التي رفضت المساعدة، مدعيًا أنها تجاهلت 1061 تقريرًا. 26 فبراير: مكتب التحقيقات الفيدرالي يؤكد تقارير عن اختراقات Lazarus وSafe أكد مكتب التحقيقات الفيدرالي الأمريكي (FBI) الشكوك التي تم الإبلاغ عنها على نطاق واسع بأن قراصنة من كوريا الشمالية قاموا باستغلال Bybit، وأطلقوا على مجموعة TraderTraitor، المعروفة في دوائر الأمن السيبراني باسم مجموعة Lazarus. في إعلان للخدمة العامة، حث مكتب التحقيقات الفيدرالي القطاع الخاص، بما في ذلك مشغلي العقد والبورصات والجسور، على منع المعاملات من العناوين المرتبطة بـ Lazarus. حدد مكتب التحقيقات الفيدرالي الأمريكي (FBI) 51 عنوانًا مشبوهًا لسلسلة الكتل مرتبطة بهجمات القرصنة، بينما حددت شركة الأمن السيبراني Elliptic أكثر من 11000 وسيط. وفي الوقت نفسه، وجد تحقيق ما بعد الاختراق أن بيانات اعتماد SafeWallet المخترقة أدت إلى الاستغلال، وليس من خلال البنية التحتية لشركة Bybit كما ورد سابقًا.

27 فبراير: حجم معاملات THORChain يرتفع بشكل كبير

وصفت شركة الأمن TRM Labs السرعة التي غسل بها قراصنة Bybit الأموال بأنها "مقلقة بشكل خاص"، حيث ورد أن القراصنة نقلوا أكثر من 400 مليون دولار من خلال محافظ وسيطة، وبورصات العملات المشفرة، والجسور عبر السلسلة، وDEXs اعتبارًا من 26 فبراير. وأشارت TRM أيضًا إلى أن غالبية العائدات المسروقة تم تحويلها إلى Bitcoin، وهو تكتيك مرتبط عادةً بـ Lazarus. لا تزال معظم عملات البيتكوين المحولة مخزنة حيث كانت. وفي الوقت نفسه، اكتشفت Arkham Intelligence أن Lazarus قد حولت ما لا يقل عن 240 مليون دولار في ETH من خلال بروتوكول THORChain المتقاطع المضطرب، واستبدلتها بالبيتكوين. ارتفع إجمالي حجم تداول THORChain إلى أكثر من مليار دولار في 48 ساعة.

بعد إلغاء التصويت على منع المعاملات المرتبطة بالقراصنة الكوريين الشماليين، أعلن مطور THORChain "بلوتو" انسحابه الفوري من المشروع. في هذه الأثناء، أفاد موقع Lookonchain أن المتسللين قاموا بغسل 54% من الأموال المسروقة. ربما تمكنت شركة Bybit من استعادة احتياطياتها المفقودة بالكامل، لكن الحادث يثير أسئلة أكبر حول صناعة blockchain وكيفية الاستجابة للاختراقات. رفض مطور Ethereum Tim Beiko بسرعة الدعوات إلى التراجع عن شبكة Ethereum لاسترداد الأموال إلى Bybit. وقال إن الاختراق كان مختلفًا بشكل أساسي عن الحوادث السابقة، مضيفًا أن "الطبيعة المترابطة لإيثريوم وتسوية المعاملات الاقتصادية على السلسلة <> خارج السلسلة تجعل هذه مشكلة يصعب حلها اليوم". تُظهر تداعيات اختراق Bybit كيف أصبحت مجموعة Lazarus أكثر كفاءة في نقل الأموال القائمة على blockchain. ويشتبه محققو TRM Labs في أن هذا قد يشير إلى تحسن في البنية التحتية للعملات المشفرة في كوريا الشمالية أو قدرة متزايدة للشبكات المالية السرية على امتصاص الأموال غير المشروعة.

مع استمرار نمو القيمة المحجوزة في منصات blockchain، يتزايد أيضًا تعقيد الهجمات. وتظل الصناعة هدفا رئيسيا للقراصنة التابعين للدولة في كوريا الشمالية، الذين يقال إنهم يستخدمون عائداتها لتمويل برامج الأسلحة الخاصة بهم.