المؤلف: 23pds والمحرر Thinking: Liz
الخلفية
في مساء يوم 26 فبراير، أصدرت Bybit وSafe في وقت واحد إعلانًا عن تحقيق أمني بشأن سرقة ما يقرب من 1.5 مليار دولار أمريكي من العملة المشفرة من Bybit.
قال Safe:
أظهر التحليل الجنائي للهجوم المستهدف الذي شنته مجموعة Lazarus على Bybit أن المهاجم غزا جهاز مطور Safe{Wallet}، وقدم اقتراح معاملة ضارًا مقنعًا، وحث مالك محفظة Bybit الآمنة على توقيع معاملة ضارة، وبالتالي مهاجمة محفظة Bybit الآمنة. لم يكشف التحليل الجنائي الذي أجراه باحثون أمنيون خارجيون عن أي ثغرات في الكود المصدر للعقود الذكية الآمنة أو الواجهة الأمامية أو الخدمات ذات الصلة. بعد الحادث، أجرى فريق Safe{Wallet} تحقيقًا شاملاً وقام باستعادة Safe{Wallet} على شبكة Ethereum الرئيسية على مراحل. قام فريق Safe{Wallet} بإعادة بناء البنية التحتية بالكامل وإعادة تكوينها وتدوير جميع بيانات الاعتماد لضمان القضاء على متجه الهجوم تمامًا. سوف يقوم فريق Safe{Wallet} بنشر تقرير كامل بعد الوفاة بمجرد معرفة النتائج النهائية للتحقيق. لا تزال الواجهة الأمامية لـ Safe{Wallet} قيد التشغيل، مع اتخاذ تدابير أمنية إضافية. ومع ذلك، يتعين على المستخدمين أن يكونوا أكثر حذراً ويقظة عند توقيع المعاملات.
قال Bybit:
وقت الهجوم:تم حقن الكود الخبيث في دلو AWS S3 الخاص بـ Safe{Wallet} في 19 فبراير 2025، وتم تشغيله عندما نفذ Bybit معاملة متعددة التوقيعات في 21 فبراير 2025، مما أدى إلى سرقة الأموال.
طريقة الهجوم: قام المهاجم بالتلاعب بملف JavaScript الأمامي لـ Safe{Wallet}، وحقن كودًا ضارًا، وتعديل معاملة Bybit متعددة التوقيع، وإعادة توجيه الأموال إلى عنوان المهاجم.
هدف الهجوم:يستهدف الكود الخبيث على وجه التحديد عنوان المحفظة الباردة متعددة التوقيعات الخاصة بشركة Bybit وعنوان الاختبار، ولا يتم تنشيطه إلا في ظل ظروف معينة.
إجراءات ما بعد الهجوم: بعد حوالي دقيقتين من تنفيذ المعاملة الضارة، قام المهاجم بإزالة الكود الضار من دلو AWS S3 لتغطية آثاره.
استنتاج التحقيق: نشأ الهجوم من البنية التحتية لـ AWS الخاصة بـ Safe{Wallet} (ربما تم تسريب أو اختراق حساب S3 CloudFront/مفتاح API)، ولم يتم مهاجمة البنية التحتية الخاصة بـ Bybit. أصدر مكتب التحقيقات الفيدرالي الأمريكي (FBI) إعلانًا يؤكد أن مجموعة القراصنة الكورية الشمالية "TraderTraitor" (المعروفة أيضًا باسم مجموعة Lazarus) كانت وراء هجوم القراصنة على بورصة Bybit في 21 فبراير، مما أدى إلى سرقة أصول مشفرة بقيمة 1.5 مليار دولار.
المراجعة والتحليل
بصفتها وكالة أمنية خارجية تابعة لجهة خارجية، لم تتدخل SlowMist بشكل مباشر في التحليل، ولكننا نواصل أيضًا الاهتمام بتقدم الأمر.
في صباح يوم 26 فبراير ، عندما كان فريق الأمن البطيء يراجع الهجوم داخليًا ، وجد Slowmist Ciso 23pds أنه منذ أن قامت الهجوم في 21 فورًا بالتفكير في الأمن البطيء: TPS: //app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
تحليل كود JavaScript "_app-52c9031bfa03da47.js" المعني هو كما يلي:
(مصدر الصورة: ScamSniffer)
مخطط تدفق الهجوم الشامل
من قبيل المصادفة، بينما كنا نقوم بالتحليل، أصدرت Safe وBybit للتو تقارير التحقيق الخاصة بهما الليلة الماضية، وأخيرًا تم الانتهاء من الأمر، وهو أمر جيد بلا شك. في هذه المرحلة، يمكن تأكيد أن سرقة ما يقرب من 1.5 مليار دولار من العملات المشفرة من Bybit كانت هجومًا مستهدفًا تم التخطيط له بعناية من قبل المهاجم. وقد كشف هذا الحادث عن قدرة المتسللين على مهاجمة بيئات التطوير وسلاسل التوريد بدقة، وأبرز أهمية التحكم في الكود الأمامي. تمكن المهاجم أولاً من السيطرة على الكود الأمامي لـ app.safe.global، ثم نفذ هجومًا دقيقًا على محفظة Bybit's Safe{Wallet}. عندما يستخدم مالك التوقيع المتعدد من Bybit ملف app.safe.global للتوقيع، تعرض واجهة Safe{Wallet} عنوانًا عاديًا. في الواقع، عند بدء المعاملة، يتم استبدال محتوى المعاملة ببيانات ضارة للتوقيع، وبالتالي خداع المالك لحمله على توقيع البيانات الضارة المعدلة للتوقيع. في نهاية المطاف، نجح المهاجم في السيطرة على عقد محفظة التوقيع المتعددة الخاصة بـ Bybit وسرق العملات المعدنية.
شهد إطلاق صناديق الاستثمار المتداولة للبيتكوين والإيثريوم في هونج كونج حجم تداول متواضع، مما يشير إلى معنويات المستثمرين الحذرة وسط مخاوف تنظيمية وتقلبات السوق. وعلى الرغم من الاستجابة الخافتة، فإن زيادة حجم التداول تشير إلى اهتمام متزايد، مما يشير إلى التأثير المحتمل على السوق في المستقبل.
Weatherlyأثار الانخفاض الأخير في عملة البيتكوين اهتمام المستثمرين، حيث اعتبر الكثيرون التقلبات الكبيرة لهذا الرمز الرقمي بمثابة نذير لتغيرات أوسع في شهية المخاطرة في السوق العالمية. كتب تشارلي موريس، كبير مسؤولي الاستثمار في ByteTree Asset Management، في تقرير، "إن عملة البيتكوين هي طائر الكناري المفضل لدينا. إنها بمثابة تحذير من المشاكل المستقبلية المحتملة في الأسواق المالية، ومع ذلك فإننا لا نزال واثقين من أنها سوف تنتعش في مرحلة ما".
Miyukiألقت الشرطة الصينية القبض على مزور هوية متورط في عملية الإسقاط الجوي للعملة المشفرة StarkNet، والذي حصل بشكل غير قانوني على الرموز ثم قام بتحويلها إلى عملات USDT المستقرة.
Weiliangيثير الموقف الغامض لـ Gary Gensler بشأن Ethereum تساؤلات حول النهج التنظيمي لهيئة الأوراق المالية والبورصة.
Kikyoتتخذ السلطات الهندية إجراءات صارمة ضد مخططات الاحتيال في العملات المشفرة مثل HPZ Token وE-Nugget، حيث تستولي على الأصول وترسل رسالة قوية ضد الأنشطة غير القانونية. على الرغم من المخاوف، فإن المستثمرين الهنود الشباب يقودون نمو سوق العملات المشفرة، لكن الوضوح التنظيمي ضروري للتبني السائد.
Anaisصادرت مديرية التنفيذ الهندية مبلغ 30 مليون دولار من عملية احتيال E-Nuggets، والتي تنطوي على اعتقالات ومصادرة الأصول من خلال تتبع blockchain عبر بورصات العملات المشفرة الرئيسية.
Alexتلتزم Microsoft بمبلغ 2.2 مليار دولار لتعزيز البنية التحتية للذكاء الاصطناعي والسحابة في ماليزيا، بالشراكة مع الحكومة لتعزيز الأمن السيبراني وتعزيز تطوير الذكاء الاصطناعي المحلي.
Miyukiتم القبض على صهر المغني التايواني الشهير يو تيان واحتجازه، ويقال إن له علاقات قوية ببورصة معينة ويشتبه في قيامه بغسل أموال العملات المشفرة.
Alexتشير وسائل الإعلام الرسمية الصينية، بناءً على قرارات المحكمة، إلى أن معاملات العملة المشفرة غير صالحة من الناحية القانونية، وأن الخسائر يتحملها الفرد.
Miyukiيتوقع مايكل سايلور أن تقوم هيئة الأوراق المالية والبورصة بتصنيف الإيثريوم كأوراق مالية، مما يؤثر على تطبيقات صناديق الاستثمار المتداولة وتصنيف العملات المشفرة الرئيسية الأخرى وقبولها في السوق.
Weiliang