بزرگ‌ترین هک تاریخ ارزهای دیجیتال: چگونه لازاروس ۱.۵ میلیارد دلار از Bybit سرقت کرد؟

در روز جمعه، گروه هکری لازاروس که تحت حمایت دولت کره شمالی فعالیت می‌کند، بزرگ‌ترین حمله تاریخ به صرافی متمرکز ارز دیجیتال Bybit را انجام داد و بیش از ۱.۵ میلیارد دلار از دارایی‌های اتریوم و توکن‌های مشتقه آن را از این صرافی سرقت کرد. اکنون، تنها چند ساعت پس از این حمله، محققان امنیتی اتریوم در حال بررسی نحوه وقوع این حمله و بررسی خطرات احتمالی برای سایر پلتفرم‌ها هستند.

حمله به Bybit چگونه انجام شد؟

به گفته بن ژو، مدیرعامل بای‌بیت، این هکرها موفق شدند به یکی از کیف پول‌های سرد اتریوم این صرافی دسترسی پیدا کنند. بر اساس گزارش پس از حادثه که توسط بای‌بیت منتشر شده، این صرافی ابتدا در حین انتقال روتین دارایی‌ها از کیف پول چندامضایی سرد به کیف پول گرم متوجه فعالیت‌های مشکوک شد. متأسفانه، تراکنش مربوطه توسط یک حمله پیچیده دستکاری شد که منجر به تغییر در منطق قرارداد هوشمند و تغییر رابط امضای تراکنش شد. در نتیجه، بیش از ۴۰۰,۰۰۰ ETH و stETH به ارزش بیش از ۱.۵ میلیارد دلار به یک آدرس ناشناس منتقل شدند.

هکرها مطابق با روش‌های معمول خود، این وجوه را به سه کیف پول توزیع‌کننده جداگانه منتقل کرده و سپس آن‌ها را به ده‌ها آدرس دیگر تقسیم کردند. در مجموع، آن‌ها موفق شدند:

• ۴۰۱,۳۴۷ اتریوم به ارزش ۱.۱۲ میلیارد دلار
• ۹۰,۳۷۶ استیکد اتریوم (stETH) به ارزش ۲۵۳.۱۶ میلیون دلار
• ۱۵,۰۰۰ cmETH به ارزش ۴۴.۱۳ میلیون دلار
• ۸,۰۰۰ mETH به ارزش ۲۳ میلیون دلار را از این صرافی خارج کرده و از طریق صرافی‌های غیرمتمرکز آن‌ها را به ETH تبدیل کنند.

نقش کیف پول Safe

طبق گزارش منتشر شده، تیم امنیتی بای‌بیت اعلام کرد که ممکن است پلتفرم Safe{Wallet}، که یک کیف پول چندامضایی است و توسط بسیاری از صرافی‌ها و پروتکل‌ها استفاده می‌شود، در این حمله مورد سوءاستفاده قرار گرفته باشد. تنها یک ساعت بعد از این حمله، مدیرعامل بای‌بیت در پستی که بعداً حذف شد، درخواست کرد که با تیم Safe تماس گرفته شود.

در واکنش به این حمله، تیم Safe اعلام کرد که با بای‌بیت همکاری نزدیکی دارد و برای احتیاط بیشتر برخی از خدمات خود را موقتاً متوقف کرده است. آن‌ها گفتند که شواهدی از نفوذ مستقیم به رابط کاربری رسمی Safe پیدا نکرده‌اند، اما برخی ویژگی‌های این پلتفرم غیرفعال شده‌اند.

با این حال، بیشتر محققان امنیتی معتقدند که کیف پول Safe ایمن است و حمله از طریق آلوده کردن دستگاه‌های امضاکنندگان بای‌بیت توسط گروه لازاروس انجام شده است.

روش اجرای حمله به Bybit

به گفته تیلور موینهان، سرپرست امنیتی کیف پول متامسک، این حمله احتمالاً از طریق آلوده کردن دستگاه‌های امضاکنندگان انجام شده است. در این حمله، مهاجمان موفق شدند صفحه‌ای جعلی را به کاربران نمایش دهند که ظاهری مشابه پلتفرم Safe داشت، اما در واقع به‌طور مخفیانه تراکنش‌های مخربی را امضا می‌کرد.

اودیسئوس، بنیان‌گذار پروتکل امنیتی Phalanx، نیز توضیح داد که این حمله شامل نمایش یک صفحه جعلی Safe به امضاکنندگان بود تا آن‌ها بدون اطلاع، تراکنش‌های دستکاری‌شده را تأیید کنند. وی همچنین اشاره کرد که کیف پول‌های سخت‌افزاری معمولاً فقط هش امضا را نمایش می‌دهند و نه خود تراکنش، که این موضوع باعث شده هکرها به راحتی از این نقطه‌ضعف سوءاستفاده کنند.

احتمال نفوذ داخلی؟

تحلیلگران امنیتی هنوز به‌طور کامل مشخص نکرده‌اند که چگونه بدافزار مورد استفاده در این حمله به سیستم امضاکنندگان نفوذ کرده است. با این حال، شواهد نشان می‌دهند که ممکن است این حمله از طریق یک نفوذ داخلی انجام شده باشد. برای اینکه لازاروس بتواند به کیف پول سرد بای‌بیت دسترسی پیدا کند، باید تمامی امضاکنندگان چندامضایی را شناسایی کرده، دستگاه‌های آن‌ها را آلوده کرده و آن‌ها را متقاعد می‌کرد که تراکنش‌های قانونی را امضا می‌کنند.

در ماه‌های اخیر، نگرانی‌ها در مورد استخدام ناآگاهانه توسعه‌دهندگان کره شمالی در شرکت‌های فناوری افزایش یافته است. گروه لازاروس سابقه نفوذ از طریق عوامل داخلی را دارد و در گذشته نیز حملاتی مشابه به صرافی‌های مختلف انجام داده است.

گروه هکری لازاروس: تهدیدی سایبری با پشتوانه کره شمالی

گروه هکری لازاروس (Lazarus Group) یک گروه هکری با ارتباطات گسترده به کره شمالی است که در دهه‌های اخیر به دلیل حملات سایبری پیچیده و موفقیت‌آمیز شناخته شده است. این گروه به طور معمول به انجام حملات سایبری با هدف سرقت اطلاعات حساس، تخریب زیرساخت‌ها و اختلال در عملیات مالی دولتی و تجاری در سراسر جهان مشغول است. گروه لازاروس از ابزارها و تکنیک‌های پیشرفته برای نفوذ به سیستم‌ها استفاده می‌کند و اغلب از بدافزارهای خاص خود مانند “WannaCry” و “DarkSeoul” برای این اهداف بهره می‌برد.

این گروه به نظر می‌رسد که به طور مستقیم تحت حمایت دولت کره شمالی قرار دارد و حملات آن معمولاً به اهداف دولتی، مالی و زیرساختی کشورها یا سازمان‌های مهم می‌پردازد. در بسیاری از موارد، این گروه به عنوان بخشی از استراتژی‌های جنگ سایبری یا فعالیت‌های اقتصادی کره شمالی شناخته می‌شود، به ویژه در زمینه سرقت ارزهای دیجیتال و انجام حملات مالی برای تأمین منابع مالی برای رژیم حاکم.

راه‌های افزایش امنیت

هرچند بای‌بیت همچنان در حال بررسی ریشه این حمله است، اما کارشناسان امنیتی پیشنهاد کرده‌اند که می‌توان اقداماتی را برای جلوگیری از چنین حملاتی انجام داد. یکی از این پیشنهادات، استفاده از قابلیت تأخیر زمانی (Timelock) برای تأیید تراکنش‌ها در کیف پول Safe است که می‌تواند از تغییرات ناگهانی جلوگیری کند.

اودیسئوس تأکید کرد که استفاده از کیف پول سخت‌افزاری روی یک دستگاه آلوده عملاً بی‌فایده است. وی پیشنهاد کرد که امضاهای چندامضایی باید از طریق دستگاه‌های ایزوله از شبکه انجام شوند تا خطر آلوده شدن آن‌ها کاهش یابد.

ایدو بن ناتان، بنیان‌گذار شرکت امنیتی Blockaid، نیز هشدار داد که حملاتی که از ترکیب امضای کور (Blind Signing) و بدافزار استفاده می‌کنند، به‌سرعت در حال افزایش هستند. به گفته وی، شرکت‌ها باید درک کنند که این نوع حملات ناشی از خطای عملیاتی نیستند، بلکه تهدیدی پیشرفته و هدفمند علیه مشتریان و سازمان‌ها محسوب می‌شوند.

در نهایت، موینهان تأکید کرد که هر پلتفرمی که از امضاهای چندامضایی برای مقادیر بالا استفاده می‌کند، در معرض خطر قرار دارد. وی توصیه کرد که کاربران و شرکت‌ها نباید به این امید باشند که هیچ‌گاه آلوده به بدافزار نخواهند شد، بلکه باید فرض کنند که احتمال آلودگی همواره وجود دارد و اقدامات پیشگیرانه را در بالاترین سطح ممکن اجرا کنند.

چگونه کاربران می‌توانند از دارایی‌های خود محافظت کنند؟

۱. از دستگاه ایزوله برای امضای تراکنش‌های حساس استفاده کنید
بهتر است برای امضای تراکنش‌های مهم، از دستگاهی که به اینترنت متصل نیست استفاده شود. این کار احتمال آلوده شدن به بدافزارها را به میزان قابل‌توجهی کاهش می‌دهد.

۲. از امضای کور (Blind Signing) بپرهیزید
همیشه قبل از تأیید یک تراکنش، جزئیات آن را به‌دقت بررسی کنید. امضای کور می‌تواند منجر به از دست رفتن سرمایه شما شود.

۳. زمان‌بندی (Timelock) را فعال کنید
این قابلیت می‌تواند مانع از انجام حملات ناگهانی و برداشت‌های غیرمجاز شود و لایه‌ای اضافی از امنیت را فراهم کند.

۴. چندین لایه احراز هویت به کار ببرید
تنها به یک روش امنیتی بسنده نکنید. ترکیب کیف پول سخت‌افزاری، احراز هویت چندعاملی (MFA) و سایر ابزارهای امنیتی می‌تواند احتمال نفوذ را به حداقل برساند.

۵. مراقب حملات فیشینگ باشید
ایمیل‌های مشکوک، پیام‌های جعلی در تلگرام، افزونه‌های مرورگر و وب‌سایت‌های تقلبی از جمله روش‌های رایج برای سرقت اطلاعات کاربران هستند. همیشه از منابع رسمی استفاده کنید و به لینک‌های ناشناس اعتماد نکنید.

نتیجه‌گیری: امنیت کریپتو نیازمند تحول اساسی است

حمله گروه لازاروس به صرافی Bybit نشان داد که روش‌های امنیتی سنتی دیگر پاسخگوی تهدیدات امروزی نیستند. هکرها با بهره‌گیری از تکنیک‌های پیچیده‌ای مانند بدافزارها، فیشینگ، مهندسی اجتماعی و امضای کور، دارایی‌های دیجیتال کاربران را هدف قرار می‌دهند. بنابراین، افزایش آگاهی و استفاده از راهکارهای امنیتی نوین، بیش از هر زمان دیگری ضروری است.

منبع: theblock