مليار ونصف المليار دولار، هي حصيلة سرقة عدّها خبراء دوليون "الأكبر في تاريخ العملات المشفّرة"، كان ضحيتها منصّة "Bybit"، فيما رجحت جهات عدة أن المسؤول عن ذلك قراصنة من كوريا الشمالية.
تمت عملية السرقة الجمعة الماضي لـ400 ألف وحدة من عملة الإثيريوم المشفرة بأشكالها، حيث استغلّ القراصنة حينها ثغرة في واجهة المستخدم، وفق تصريح للشركة المتضررة.
ماذا قالت "باي بت"؟
قالت الشركة إن الهجوم وقع أثناء نقل هذه الوحدات من إحدى محافظها الباردة إلى محفظة دافئة.
والباردة "نوع آمن للغاية من محافظ العملات المشفرة التي تحافظ على مفاتيحك الخاصة غير متصلة بالإنترنت، بعيدا عن التهديدات المحتملة عبر الإنترنت"، بعكس الساخنة التي تتصل بالإنترنت وأكثر عرضة للاختراق، بحسب موقع "كريبتموس".
وتأسست "Bybit" عام 2018، وهي من أكبر منصات تداول العملات المشفرة حول العالم، حيث تعالج أكثر من 36 مليار دولار كمتوسط لحجم التداول اليومي، ومقرها مدينة دبي في الإمارات.
قبل الاختراق، وفق بيانات شركة "كوين ماركت كاب Coin market cap"، كانت المنصة تمتلك نحو 16.2 مليار دولار من الأصول الرقمية، ما يعني أن الإيثيريوم المسروق يعادل 9 في المئة من إجمالي أصولها.
وفي يونيو 2024، قالت وكالة "بلومبيرغ" إن "Bybit" أصبحت ثاني أكبر منصة تداول من حيث حجم التداول العالمي.
هذه السرقة أدت مباشرة لانخفاض سعر الإيثريوم بنحو 8% من أعلى مستوى له يوم الجمعة . كما انخفضت عملات مشفرة أخرى، حيث فقد البيتكوين حوالي 5% من قيمته مقارنة بأعلى مستوى له في اليوم نفسه.
وقالت شركة الأمن السيبراني "Check Point" إن المهاجمين ربما حددوا المُوقّعين المتعددين المسؤولين عن الموافقة على المعاملات، ثم اخترقوا أجهزتهم باستخدام البرمجيات، أو التصيد الاحتيالي، أو هجوم سلسلة التوريد (Supply Chain Attack).
من جهتها، أوضحت "Bybit" أن القراصنة استغلّوا ثغرة في واجهة المستخدم، حيث جعلوا الأمر يبدو كما لو أن الأموال تُنقل إلى العنوان الصحيح.
لكنهم قاموا بالتلاعب بمنطق العقد الذكي الأساسي، مما منحهم السيطرة الكاملة على المحفظة الباردة، ليتمكنوا بعدها من تحويل الأصول إلى عنوان يتحكمون به، أضافت "Bybit".
وشهدت منصّات عديدة غسيلاً للأموال المسروقة، بعضها تمت استعادته، وآخر تجميده بعد تتبّع تحركات الأموال.
مكافأة لقاء الاسترداد
وفقاً لآخر تحديث من "Bybit"، أمس الاثنين، تمكنت الشركة من استرداد حوالي 43 مليون دولار بعد أن بدأت بعض منصات العملات المشفرة بتجميد الأموال المسروقة.
وأطلقت "Bybit" برنامج مكافآت لاسترداد الأموال، حيث تعرض مكافآت تصل إلى 10% من المبلغ المسترد لأي شخص يساعد في استعادة الأصول المسروقة.
وأكدت لعملائها أن أصولهم مضمونة، وأن الشركة لا تزال قادرة على الوفاء بالتزاماتها حتى لو لم تستعد الأموال المسروقة بالكامل.
وفي محاولة لطمأنة العملاء، ظهر المدير التنفيذي لشركة "Bybit" في بث مباشر على منصة إكس، معلنا حصول الشركة على قروض مؤقتة من شركاء وتأمين قرابة 80% من الأموال اللازمة لتعويض الخسائر.
وقال إن "Bybit" ستسعى لاستعادة الأموال وتتخذ الإجراءات القانونية اللازمة ضد القراصنة.
وتابع، بحسب ما نقلت عنه وكالة "بلومبيرغ": "أموالكم آمنة، وعمليات السحب لا تزال متاحة. المنصة قامت بمعالجة أكثر من 70% من طلبات السحب منذ الاختراق. ولا نقوم حاليا بشراء أي وحدة إيثيريوم لتعويض الأصول المسروقة على المنصة".
والأحد الماضي، نشرت منصة "لوك أون تشين" عبر إكس (أعاد بثها بن زو)، جدولا بالقروض التي حصلت عليها الشركة المتضررة، وبلغت قيمتها حوالي 1.2 مليار دولار.
Since being hacked, #Bybit has received ~446,870 $ETH($1.23B) through loans, whale deposits, and ETH purchases.#Bybit has nearly closed the gap. pic.twitter.com/0oz3ytLi4X
— Lookonchain (@lookonchain) February 24, 2025
السرقة وغسيل الأموال
بحسب شركة "Eliptic" المختصة في تحليل البلوكشين (السجل الرقمي لتداول العملات)، فإن القراصنة يقومون بتحويل الإيثريوم المسروق تدريجياً إلى بيتكوين باستخدام منصة "eXch" التي رفضت تجميد الأموال، بالإضافة إلى خدمات أخرى.
وإذا استمرت العملية بنفس النمط، قالت إنه من المحتمل أن يتم استخدام خدمات خلط (Mixers) قريباً لإخفاء أثر التحويلات، ولكن قد يكون ذلك صعباً، بسبب الحجم الضخم للأصول المسروقة، وفق ما نقل موقع "سيكيوريتي ويك" المختص بالأمن السيبراني.
من جهته، أفاد مزود بيانات البلوكشين "Nansen"، أن المهاجمين قاموا أولًا بسحب ما يقرب من 1.5 مليار دولار من الأموال إلى محفظة رئيسية، ثم وزعوها بين أكثر من 40 محفظة.
وأوضح "قام القراصنة بتحويل جميع أصول stETH وcmETH وmETH إلى ETH، ثم نقلوا الإيثريوم المسروق في دفعات بقيمة 27 مليون دولار لكل معاملة إلى أكثر من 10 محافظ إضافية".
كوريا الشمالية وسرقة "تاريخية"
ربطت شركات وخبراء الاختراق بكوريا الشمالية، وتحديدا مجموعة لازاروس، المعروفة بشن هجمات كبرى على منصات العملات المشفرة.
كان المحلل الشهير ZachXBT من أوائل من أشار إلى مسؤولية كوريا الشمالية عن الهجوم، مستندا إلى استخدام عناوين سبق أن ارتبطت بجهات قرصنة مدعومة من الدولة.
Lazarus Group just connected the Bybit hack to the Phemex hack directly on-chain commingling funds from the intial theft address for both incidents.
— ZachXBT (@zachxbt) February 22, 2025
Overlap address:
0x33d057af74779925c4b2e720a820387cb89f8f65
Bybit hack txns on Feb 22, 2025:… pic.twitter.com/dh2oHUBCvW
وقالت منصة استخبارات البلوكشين "TRM Labs" إن لديها "درجة عالية من الثقة" أن الهجوم نفذ من كوريا الشمالية، استناداً إلى تداخلات كبيرة بين العناوين التي استخدمها القراصنة وأخرى مرتبطة بسرقات سابقة نفذتها كوريا الشمالية.
من جانبها، ربطت شركة "Elliptic" الهجوم بكوريا الشمالية استنادا إلى عدة عوامل، من بينها الأساليب المستخدمة لغسل الأموال المسروقة.
وفق الشركة، قام القراصنة في غضون ساعتين فقط من تنفيذ السرقة، بتحويل الأموال إلى 50 محفظة مختلفة، والتي يجري تفريغها بشكل منهجي.
وتم غسل الأموال عبر منصات تداول مركزية ولا مركزية، بالإضافة إلى استخدام الجسور بين سلاسل البلوكشين (Cross-Chain Bridges).
وفي أواخر عام 2024، اتهم مكتب التحقيقات الفيدرالي الأميركي (FBI) رسميا قراصنة كوريا الشمالية بسرقة 308 مليون دولار من منصة "Bitcoin.DMM.com".
كما سبق للحكومة الأميركية اتهام "لازاروس" في اختراق "Ronin" الذي بلغت قيمته 600 مليون دولار.
وفي تقرير مشترك، أكدت الولايات المتحدة واليابان وكوريا الجنوبية أن قراصنة كوريا الشمالية سرقوا ما يقرب من 660 مليون دولار من العملات المشفرة خلال عام 2024 وحده.
ووصف توم روبنسون، الشريك المؤسس في "Elliptic" الهجوم بأنه "أكبر سرقة للعملات المشفرة على الإطلاق وبفارق كبير"، مشيراً إلى أن السرقة التالية في الحجم كانت سرقة 611 مليون دولار من منصة "Poly Network" في 2021.
وأضاف "في الواقع، قد تكون هذه أكبر سرقة فردية على الإطلاق، وليس فقط في قطاع العملات المشفرة".
