كشفت شركة Safe{Wallet} أن الحادث الأمني الذي أدى إلى سرقة 1.5 مليار دولار من العملات الرقمية من منصة Bybit كان “هجومًا معقدًا للغاية ومدعومًا من دولة”، مشيرة إلى أن الجهات الفاعلة التابعة لكوريا الشمالية قامت بخطوات لمحو آثار النشاط الخبيث في محاولة لإعاقة جهود التحقيق.
وأوضحت المنصة التي تعتمد على توقيعات متعددة (Multi-signature)، والتي استعانت بشركة Google Cloud Mandiant لإجراء تحقيق جنائي، أن الهجوم تم تنفيذه من قبل مجموعة قرصنة تُعرف باسم TraderTraitor، والتي تُعرف أيضًا بأسماء Jade Sleet، وPUKCHONG، وUNC4899.
وقالت الشركة: “تضمن الهجوم اختراق جهاز كمبيوتر محمول تابع لأحد مطوري Safe{Wallet} (المُسمى ‘Developer1’)، واستغلال رموز جلسات AWS لتجاوز ضوابط المصادقة متعددة العوامل (MFA). وكان هذا المطور واحدًا من عدد قليل جدًا من الموظفين الذين يتمتعون بصلاحيات وصول أعلى لأداء مهامهم.”
تفاصيل الهجوم
أظهر التحليل الإضافي أن المهاجمين اخترقوا جهاز Apple macOS الخاص بالمطور في 4 فبراير 2025، عندما قام الفرد بتنزيل مشروع Docker يحمل اسم “MC-Based-Stock-Invest-Simulator-main”، على الأرجح عبر هجوم هندسة اجتماعية. وكان المشروع يتواصل مع نطاق “getstockprice[.]com” الذي تم تسجيله على Namecheap قبل يومين من الهجوم.
وتشير الأدلة السابقة إلى أن مجموعة TraderTraitor كانت تخدع مطوري منصات تبادل العملات الرقمية لمساعدتهم في استكشاف مشروع Docker بعد الاتصال بهم عبر Telegram. يتم تكوين مشروع Docker لإسقاط حمولة ثانوية تُسمى PLOTTWIST، مما يتيح وصولًا بعيدًا ودائمًا.
ولم يتضح ما إذا كانت نفس الطريقة استُخدمت في الهجمات الأخيرة، حيث قالت Safe{Wallet}: “قام المهاجم بإزالة البرمجيات الخبيثة ومسح سجل Bash في محاولة لإعاقة جهود التحقيق.”
استغلال بيئة AWS
تم استخدام البرمجيات الخبيثة التي نُشرت على محطة العمل لإجراء استطلاع لبيئة Amazon Web Services (AWS) التابعة للشركة، واستغلال جلسات مستخدمي AWS النشطة لتنفيذ إجراءات تتماشى مع جدول المطور في محاولة للبقاء تحت الرادار.
وقالت الشركة: “تم استخدام حساب AWS الخاص بـ Developer1 من عناوين IP تابعة لـ ExpressVPN مع سلاسل User-Agent تحتوي على distrib#kali.2024، مما يشير إلى استخدام نظام Kali Linux المصمم لممارسي الأمن الهجومي.”
أدوات إضافية واستغلال الموقع
كما لوحظ أن المهاجمين قاموا بنشر إطار عمل Mythic مفتوح المصدر، بالإضافة إلى حقن كود JavaScript خبيث في موقع Safe{Wallet} لفترة يومين بين 19 و21 فبراير 2025.
مصير الأموال المسروقة
قال بن زهو، الرئيس التنفيذي لـ Bybit، في تحديث تم مشاركته في وقت سابق من هذا الأسبوع، إن أكثر من 77% من الأموال المسروقة لا تزال قابلة للتتبع، بينما اختفى 20% منها وتم تجميد 3%. وأشاد بدور 11 طرفًا، بما في ذلك Mantle، وParaswap، وZachXBT، في مساعدة المنصة على تجميد الأصول. وقد تم تحويل حوالي 83% (417,348 ETH) إلى Bitcoin، وتوزيعها عبر 6,954 محفظة.
ارتفاع سرقات العملات الرقمية في 2025
في أعقاب هذا الاختراق، يتجه عام 2025 ليكون عامًا قياسيًا في سرقات العملات الرقمية، حيث فقدت مشاريع Web3 ما يقارب 1.6 مليار دولار في الشهرين الأولين فقط، بزيادة قدرها 8 أضعاف مقارنة بـ 200 مليون دولار في نفس الفترة من العام الماضي، وفقًا لبيانات منصة أمان البلوك تشين Immunefi.
وقالت الشركة: “الهجوم الأخير يؤكد تطور تعقيد الجهات الفاعلة الخبيثة ويُسلط الضوء على نقاط الضعف الحرجة في أمان Web3.”
وأضافت: “تأكيد أن المعاملة التي تقوم بالتوقيع عليها ستؤدي إلى النتيجة المرجوة يظل أحد أكبر التحديات الأمنية في Web3، وهذه ليست مجرد مشكلة تتعلق بالمستخدمين والتعليم، بل هي قضية صناعية تتطلب عملًا جماعيًا.”
