وأوضحت المنصة التي تعتمد على توقيعات متعددة (Multi-signature)، والتي استعانت بشركة Google Cloud Mandiant لإجراء تحقيق جنائي، أن الهجوم تم تنفيذه من قبل مجموعة قرصنة تُعرف باسم TraderTraitor، والتي تُعرف أيضًا بأسماء Jade Sleet، وPUKCHONG، وUNC4899.

وقالت الشركة: “تضمن الهجوم اختراق جهاز كمبيوتر محمول تابع لأحد مطوري Safe{Wallet} (المُسمى ‘Developer1’)، واستغلال رموز جلسات AWS لتجاوز ضوابط المصادقة متعددة العوامل (MFA). وكان هذا المطور واحدًا من عدد قليل جدًا من الموظفين الذين يتمتعون بصلاحيات وصول أعلى لأداء مهامهم.”

تفاصيل الهجوم

أظهر التحليل الإضافي أن المهاجمين اخترقوا جهاز Apple macOS الخاص بالمطور في 4 فبراير 2025، عندما قام الفرد بتنزيل مشروع Docker يحمل اسم “MC-Based-Stock-Invest-Simulator-main”، على الأرجح عبر هجوم هندسة اجتماعية. وكان المشروع يتواصل مع نطاق “getstockprice[.]com” الذي تم تسجيله على Namecheap قبل يومين من الهجوم.

وتشير الأدلة السابقة إلى أن مجموعة TraderTraitor كانت تخدع مطوري منصات تبادل العملات الرقمية لمساعدتهم في استكشاف مشروع Docker بعد الاتصال بهم عبر Telegram. يتم تكوين مشروع Docker لإسقاط حمولة ثانوية تُسمى PLOTTWIST، مما يتيح وصولًا بعيدًا ودائمًا.

ولم يتضح ما إذا كانت نفس الطريقة استُخدمت في الهجمات الأخيرة، حيث قالت Safe{Wallet}: “قام المهاجم بإزالة البرمجيات الخبيثة ومسح سجل Bash في محاولة لإعاقة جهود التحقيق.”

استغلال بيئة AWS

تم استخدام البرمجيات الخبيثة التي نُشرت على محطة العمل لإجراء استطلاع لبيئة Amazon Web Services (AWS) التابعة للشركة، واستغلال جلسات مستخدمي AWS النشطة لتنفيذ إجراءات تتماشى مع جدول المطور في محاولة للبقاء تحت الرادار.

وقالت الشركة: “تم استخدام حساب AWS الخاص بـ Developer1 من عناوين IP تابعة لـ ExpressVPN مع سلاسل User-Agent تحتوي على distrib#kali.2024، مما يشير إلى استخدام نظام Kali Linux المصمم لممارسي الأمن الهجومي.”

أدوات إضافية واستغلال الموقع

كما لوحظ أن المهاجمين قاموا بنشر إطار عمل Mythic مفتوح المصدر، بالإضافة إلى حقن كود JavaScript خبيث في موقع Safe{Wallet} لفترة يومين بين 19 و21 فبراير 2025.

مصير الأموال المسروقة

قال بن زهو، الرئيس التنفيذي لـ Bybit، في تحديث تم مشاركته في وقت سابق من هذا الأسبوع، إن أكثر من 77% من الأموال المسروقة لا تزال قابلة للتتبع، بينما اختفى 20% منها وتم تجميد 3%. وأشاد بدور 11 طرفًا، بما في ذلك Mantle، وParaswap، وZachXBT، في مساعدة المنصة على تجميد الأصول. وقد تم تحويل حوالي 83% (417,348 ETH) إلى Bitcoin، وتوزيعها عبر 6,954 محفظة.

ارتفاع سرقات العملات الرقمية في 2025

في أعقاب هذا الاختراق، يتجه عام 2025 ليكون عامًا قياسيًا في سرقات العملات الرقمية، حيث فقدت مشاريع Web3 ما يقارب 1.6 مليار دولار في الشهرين الأولين فقط، بزيادة قدرها 8 أضعاف مقارنة بـ 200 مليون دولار في نفس الفترة من العام الماضي، وفقًا لبيانات منصة أمان البلوك تشين Immunefi.

وقالت الشركة: “الهجوم الأخير يؤكد تطور تعقيد الجهات الفاعلة الخبيثة ويُسلط الضوء على نقاط الضعف الحرجة في أمان Web3.”

وأضافت: “تأكيد أن المعاملة التي تقوم بالتوقيع عليها ستؤدي إلى النتيجة المرجوة يظل أحد أكبر التحديات الأمنية في Web3، وهذه ليست مجرد مشكلة تتعلق بالمستخدمين والتعليم، بل هي قضية صناعية تتطلب عملًا جماعيًا.”

وقالت Bybit في منشور على منصة X: “وقع الحادث عندما نفذت محفظتنا الباردة المتعددة التوقيعات عملية تحويل إلى محفظتنا الدافئة. وللأسف، تم التلاعب بهذه المعاملة من خلال هجوم متطور أخفى واجهة التوقيع، مما أظهر العنوان الصحيح مع تغيير منطق العقد الذكي الأساسي.”

وأضافت: “نتيجة لذلك، تمكن المهاجم من السيطرة على المحفظة الباردة المتأثرة وتحويل موجوداتها إلى عنوان غير معروف.”

تصريحات أخرى

في بيان منفصل نُشر على منصة التواصل الاجتماعي، أكد الرئيس التنفيذي لشركة Bybit، بن تشو، أن جميع المحافظ الباردة الأخرى آمنة، وأنها قد أبلغت السلطات المعنية بالحادث.

بينما لم يتم تأكيد رسمي من Bybit حتى الآن، أكدت شركتا Elliptic وArkham Intelligence أن السرقة الرقمية هي من عمل مجموعة Lazarus الشهيرة. يعتبر هذا الحادث أكبر عملية سرقة للعملات الرقمية تم الإبلاغ عنها حتى الآن، متجاوزًا سرقات Ronin Network بقيمة 624 مليون دولار، وPoly Network بقيمة 611 مليون دولار، وBNB Bridge بقيمة 586 مليون دولار.

ذكر الباحث المستقل ZachXBT أنهم “ربطوا اختراق Bybit باختراق Phemex”، الذي حدث في نهاية الشهر الماضي.

الجهات المهاجمة

تُعتبر مجموعة التهديد المتمركزة في كوريا الشمالية واحدة من أكثر مجموعات الاختراق نشاطًا، حيث تدير عشرات السرقات للعملات الرقمية لتوليد إيرادات غير مشروعة للدولة التي تعاني من العقوبات. في العام الماضي، وصفت Google كوريا الشمالية بأنها “ربما تكون المؤسسة الإجرامية السيبرانية الرائدة في العالم.”

إحصائيات 2024

في عام 2024، يُقدر أن مجموعة Lazarus سرقت 1.34 مليار دولار عبر 47 عملية اختراق للعملات الرقمية، مما يشكل 61٪ من إجمالي العملات الرقمية المسروقة خلال تلك الفترة، وفقًا لشركة تحليل البلوكشين Chainalysis.

قالت شركة Mandiant المملوكة لجوجل الشهر الماضي: “تشهد سرقات العملات الرقمية زيادة بسبب الطبيعة المربحة لمكافآتها، والتحديات المرتبطة بنسب الهجمات للفاعلين الخبيثين، والفرص التي توفرها التقنيات الناشئة مثل العملات الرقمية وتقنيات Web3 للعديد من المنظمات.”