أكبر عملية سرقة في تاريخ العملات الرقمية: داخل مجموعة لازاروس
مقدمة
في مساء 21 فبراير 2025، تعرضت بيرصة تبادل العملات الرقمية العالمية بايبيت لأكبر اختراق في تاريخ صناعة العملات الرقمية. خلال الاختراق، تم سرقة أكثر من 500،000 إيثريوم، stETH، وmETH من محافظ بايبيت، حيث بلغت الخسائر الإجمالية أكثر من 1.46 مليار دولار بناءً على أسعار السوق في ذلك اليوم. تم نقل الأصول المسروقة بسرعة إلى عناوين محافظ غير معروفة. هذا الهجوم تفوق على اختراق Poly Network في عام 2021، الذي شهد سرقة بقيمة 611 مليون دولار، مما يجعله أكبر عملية سرقة في عالم العملات الرقمية.
المصدر: https://www.ic3.gov/PSA/2025/PSA250226
المصدر: https://x.com/benbybit/status/1894768736084885929
تأسست في عام 2018، بيبيت هي واحدة من أكبر بورصات العملات الرقمية في العالم، بحجم تداول يومي متوسط يتجاوز 36 مليار دولار. وفقًا لـ CoinMarketCap، كانت لدى بيبيت حوالي 16.2 مليار دولار في الأصول قبل الاختراق، مما يعني أن الإيثيريوم المسروق يمثل حوالي 9% من إجمالي الأصول الخاصة بها.
قدم المحلل الذي يعمل في مجال العملات الرقمية زاك إكس بي تدليكات تشير إلى أن الاختراق تم على الأرجح من قبل مجموعة القرصنة المرتبطة بكوريا الشمالية، مجموعة لازاروس. تلقى مكافأة بقيمة 30،000 دولار عن تحقيقه في الثغرة.
المصدر: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad
جدول زمني للحادث
الاختراق
استخدم المهاجمون واجهة مستخدم مزيفة (UI) لاختراق جهاز الكمبيوتر لموظف من Safe (مزود المحفظة)، مستهدفين بشكل خاص الواجهة الأمامية لنظام Safe الخاص بـ Bybit. من خلال تقليد واجهة مستخدم شرعية، يمكن للمخترقين التسلل إلى محفظة Bybit الباردة متعددة التوقيع ETH. قام المخترقون بتغيير محتوى العملية التي تبدو كعملية عادية بشكل متسلل خلال عملية العملية.
نظرًا لأن الأشخاص الذين وقعوا الوثائق اعتقدوا أنهم كانوا يُفوضون صفقة شرعية، فإنهم فشلوا في اكتشاف أنه تم استبدالها بعقد ضار. وقد أدى هذا إلى تحويل غير مصرح به لمبلغ 1.46 مليار دولار من ETH إلى عناوين غير معروفة تحت سيطرة المهاجمين.
سير الهجوم والأساليب والدفاع:
حركة الأموال وغسيل الأموال
بين الساعة 3:00 مساء و 4:30 مساء في 21 فبراير 2025 ، أكمل المتسللون غالبية تحويلات الأموال. بعد الهجوم ، بقي حوالي 3 ملايين دولار فقط من ETH في المحفظة الأساسية. تم تقسيم ETH المسروقة إلى 40 معاملة بقيمة 10000 ETH لكل منها ، بينما تم توزيع stETH و mETH على محافظ مختلفة متعددة لإخفاء مسار الأموال. بعد ذلك ، استخدم المتسللون التبادلات اللامركزية (DEXs) لمزيد من تجزئة الأموال وغسلها ، بهدف محو جميع الآثار.
تأثير السوق
حتى قبل أن تؤكد Bybit رسميا الاختراق ، بدأت أسعار BTC و ETH في الانخفاض. في غضون ساعات من الإعلان ، انخفضت عملة البيتكوين بنسبة 3٪ ، بينما انخفضت Ethereum بنسبة 7٪.
في نهاية الأسبوع، ارتدت الإيثيريوم إلى 2,800 دولار بعد عملية recompra التي بدأتها Bybit، لكنها انخفضت مرة أخرى بحلول يوم الاثنين. أصبح القراصنة الآن أكبر حامل للإيثيريوم في المركز 14، وقد تضع تركيز مثل هذه الأموال ضغطًا سلبيًا على توقعات سوق الإيثيريوم.
المصدر: https://x.com/Bybit_Official/status/1893585578706227545
جدل حول بروتوكولات السلسلة المتقاطعة
تستخدم مجموعة لازاروس بشكل متكرر بروتوكولات تبادل عبر السلاسل مثل THORChain لتحويل الأصول المسروقة إلى بيتكوين. يسهل THORChain تبادلات مباشرة بين سلاسل مختلفة، مثل ETH إلى BTC، دون الحاجة إلى المراكز التبادلية المركزية.
وفقًا لمستكشف THORChain ، بلغ حجم البروتوكول على مدار 24 ساعة في 5 مارس 93 مليون دولار. واجه مطورو البروتوكول انتقادات شديدة لتمكينهم من التعاملات غير المشروعة من قبل قراصنة كوريا الشمالية.
المصدر: https://thorchain.net/dashboard
ما هو مجموعة لازاروس؟
مجموعة لازاروس هي واحدة من أكثر منظمات القرصنة نشاطًا وسوء السمعة عالميا. يأتي اسم "لازاروس" من الشخصية الكتابية التي عادت للحياة، مما يرمز إلى الصمود والنهوض.
يُشار أيضًا إليها بـ "الحراس" أو "السلام" أو "فريق Whois"، وبقية الأعضاء والهيكل الداخلي للمجموعة مجهولان بشكل كبير. ومع ذلك، يعتقد على نطاق واسع أنها تعمل تحت السيطرة المباشرة لحكومة كوريا الشمالية. بدأت في الأصل كعصابة إجرامية إلكترونية، لكن لقد تطورت مع الوقت بسبب مدى وتطور هجماتها. يُعتبر الآن مجموعة التهديد الدائم المتقدمة (APT).
تطلق مؤسسات مختلفة على لازاروس أسماء مختلفة:
- وزارة الأمن الداخلي الأمريكية تسميها "الكوبرا الخفية"
- تشير مايكروسوفت إليه بـ "ZINC" أو "Diamond Sleet"
وفقًا لضابط المخابرات الكوري الشمالي السابق كيم كوك-سونغ، يُعرف الفريق داخليًا في كوريا الشمالية بمكتب الارتباط 414.
ذكرت وزارة العدل الأمريكية أن مجموعة لازاروس تعمل كامتداد لدولة كوريا الشمالية. وتتجاوز أنشطتها التعطيل السيبراني وتشمل الجهود الرامية إلى تجاوز العقوبات الدولية وتوليد إيرادات غير مشروعة. من خلال تنفيذ هجمات إلكترونية منخفضة التكلفة وعالية التأثير ، يمكن لكوريا الشمالية نشر فرق صغيرة من المتسللين الذين يشكلون تهديدات كبيرة للأنظمة المالية العالمية والبنية التحتية الحيوية ، لا سيما في كوريا الجنوبية والدول الغربية.
المصدر: https://en.wikipedia.org/wiki/Lazarus_Group
الهيكل التنظيمي
تتألف مجموعة لازاروس في المقام الأول من فرعين:
1. بلو نور أوف
والمعروف أيضًا باسم APT38 أو Stardust Chollima أو BeagleBoyz، تركز BlueNorOff على الجريمة المالية عبر الإنترنت، وغالبًا ما تشمل عمليات احتيالية باستخدام تحويلات SWIFT لنقل الأموال بشكل غير قانوني. استهدفت المجموعة مؤسسات مالية في مختلف البلدان، حيث يُعتقد أن الأموال المسروقة تُستخدم لدعم برامج كوريا الشمالية للصواريخ والأسلحة النووية.
حدثت أكثر عملياتهم شهرة في عام 2016 ، عندما حاولوا سرقة ما يقرب من مليار دولار من خلال شبكة SWIFT. منع خطأ إملائي في أحد التعليمات بنك الاحتياطي الفيدرالي في نيويورك من إكمال جزء من التحويلات. يستخدم BlueNorOff تكتيكات مثل التصيد الاحتيالي والأبواب الخلفية والاستغلال والبرامج الضارة (على سبيل المثال ، DarkComet و WannaCry). كما أنها تتعاون مع مجموعات مجرمي الإنترنت الأخرى لتوسيع قنوات الأموال غير المشروعة ، مما يزيد من مخاطر الأمن السيبراني العالمية.
2. أنداريل
المعروفة أيضًا باسم "Silent Chollima," "Dark Seoul," "Rifle," و "Wassonite," Andariel متخصصة في الهجمات السيبرانية المستهدفة لكوريا الجنوبية، ومعروفة بعملياتها الخفية. وفقًا لتقرير للجيش الأمريكي عام 2020، يتألف الفريق من حوالي 1,600 عضو مسؤولين عن الاستطلاع السيبراني، وتقييم الثغرات، ورسم بنى تحتية للشبكات العدو للتحضير للهجمات المستقبلية.
إلى جانب استهداف كوريا الجنوبية، أطلقت أنداريل هجمات أيضًا على وكالات حكومية وبنية تحتية حيوية وشركات في بلدان أخرى.
المصدر: https://home.treasury.gov/news/press-releases/sm774
العمليات السابقة
على مر السنين، قامت مجموعة لازاروس بشن سلسلة من الهجمات الإلكترونية حول العالم. بدءًا من الحملات الأولية لنفي الخدمة مثل عملية تروي (2009) وعشرة أيام من المطر (2011)، فقد تطوروا إلى عمليات أكثر تعقيدًا تشمل:
- مسح البيانات (على سبيل المثال، عملية سيول الداكنة، 2013)
- سرقة البيانات (على سبيل المثال، اختراق سوني بيكتشرز، 2014)
- سرقات مالية (بدءاً من عام 2015)
منذ عام 2017، استهدفت المجموعة بشكل كبير قطاع العملات الرقمية، مشنت هجمات على:
- تبادلات مثل Bithumb، Youbit، Atomic Wallet، و WazirX
- جسور السلسلة المتقاطعة مثل جسر الأفق
- ألعاب سلسلة الكتل مثل أكسي إنفينيتي
سرقت حملاتهم مليارات الدولارات من الأصول الرقمية.
في السنوات الأخيرة، استمر لازاروس في التوسع في قطاعات جديدة، بما في ذلك الرعاية الصحية وأمن المعلومات والمقامرة عبر الإنترنت. في عام 2023 وحده، تسببت المجموعة في خسائر تقدر بحوالي 300 مليون دولار، ما يمثل 17.6% من جميع الأضرار الناتجة عن القرصنة على مستوى العالم.
المصدر: https://x.com/Cointelegraph/status/1894180646584516772
كيف تستجيب المنصات لهجمات القراصنة
تعتمد بورصات العملات الرقمية عادة استراتيجية أمان شاملة تعتمد على أربعة أركان رئيسية: الوقاية، الكشف، استجابة الحوادث، والاستعادة.
1. تدابير وقائية (الدفاع التكتيكي)
- تعزيز هندسة الأمان: تنفيذ فصل المحافظ الباردة والساخنة، وتخزين معظم الأصول في محافظ باردة غير متصلة بالإنترنت، واستخدام آليات التفويض متعددة التوقيع (متعددة الامضاءات).
- ضبط صارم للوصول: قيد وصول الموظفين إلى البيانات الحساسة واعتماد نموذج أمان Zero Trust للحد من التهديدات الداخلية أو الأنظمة الداخلية المخترقة.
- تعزيز أمان العقد الذكي: إجراء فحوص أمان شاملة للعقود الذكية لتجنب الثغرات مثل هجمات إعادة الدخول وتجاوزات الأعداد الصحيحة.
- المصادقة متعددة العوامل (MFA): اطلب من جميع المسؤولين والمستخدمين تمكين 2FA (المصادقة ذات العاملين) لتقليل مخاطر اختراق الحسابات.
- حماية من هجمات رفض الخدمة الموزعة (DDoS): استخدام شبكات توزيع المحتوى (CDN) والخوادم الوكيلة العكسية للدفاع ضد هجمات رفض الخدمة الموزعة (DDoS)، مما يضمن توفر المنصة.
2. الكشف في الوقت الحقيقي (تحديد التهديدات بسرعة)
- مراقبة الشذوذ: استفد من الذكاء الاصطناعي وتعلم الآلة لاكتشاف أنماط المعاملات المشبوهة وإشارة السحب غير المعتادة أو التحويلات الكبيرة.
- تحليل سلسلة الكتل: التعاون مع شركات الاستخبارات البلوكشين مثل Chainalysis و Elliptic لمراقبة العناوين المدرجة في القائمة السوداء ومنع تدفقات الأموال غير المشروعة.
- سجلات التدقيق: الحفاظ على سجلات شاملة لجميع العمليات الحساسة (على سبيل المثال، السحوبات، تغييرات الأذونات) وإجراء التدقيق في الوقت الحقيقي.
مصدر: demo.chainalysis.com
3. استجابة الحادث (بروتوكولات ما بعد الهجوم)
- تجميد الحساب الفوري: عند اكتشاف سحب مشبوهة، قم بتعليق الحسابات المتأثرة على الفور وتجميد تحويلات الأموال لمنع حدوث مزيد من الخسائر.
- إخطار الشركاء: إنذار سريع للتبادلات الأخرى، وشركات أمان البلوكشين، ووكالات إنفاذ القانون لتتبع الأصول المسروقة.
- تصحيح الثغرات: قم بتحليل نقطة الهجوم بسرعة، وأغلق أي ثغرات، ومنع حدوثها مرة أخرى.
- تواصل مستخدم شفاف: قم بنشر الإعلانات على الفور لإبلاغ المستخدمين بالحادث وخطوات الإصلاح.
4. استعادة الأصول (تخفيف الخسائر)
- التعاون مع الإنفاذ القانوني: العمل مع الوكالات الدولية مثل مكتب التحقيقات الفدرالي، الإنتربول، وشركات تتبع تقنية بلوكشين لاستعادة الأموال المسروقة.
- تعويض التأمين: تحتفظ بعض المنصات بسياسات تأمين على الاختراق لتعويض المستخدمين المتأثرين.
صناديق الطوارئ: قم بإنشاء صناديق طوارئ مثل SAFU (صندوق الأصول الآمنة للمستخدمين) من Gate.io لحماية أصول المستخدم أثناء الحوادث الخطيرة.
حتى 5 مارس 2025 ، بلغت صندوق الاحتياطي لـ Gate.io 10.328 مليار دولار ، مما يؤكد على قوتها المالية وقدراتها على حماية المستخدم.
المصدر: www.gate.io
المصدر: https://www.gate.io/safu-user-assets-security-fund
ركن أساسي لأمان منصة العملات الرقمية يكمن في المبدأ:
"الوقاية أولاً، الكشف الفوري، الاستجابة الفعالة، والتعافي القوي."
يمكن للمنصات تعظيم حماية أصول المستخدم عن طريق دمج بنية أمان محسنة وتحليل سلسلة الكتل وآليات استجابة سريعة.
كيف يمكن للمستخدمين حماية أصولهم المشفرة
العملات الرقمية هي تمامًا رقمية، وبمجرد فقدانها أو سرقتها، يكون من الصعب جدًا استعادتها من خلال الوسائل التقليدية (على سبيل المثال، البنوك). لذلك، من الضروري اتخاذ احتياطات أمنية صارمة. فيما يلي الاستراتيجيات الأساسية لحماية أصولك الرقمية:
1. اختر طرق تخزين آمنة
التخزين البارد:
- استخدم محافظ الأجهزة (مثل ليدجر، تريزور) أو محافظ الورق لتخزين معظم الأصول في وضع عدم الاتصال بالإنترنت، بعيدًا عن الهجمات المعتمدة على الإنترنت.
- ملاحظة: تعامل مع محافظ الأجهزة بعناية لمنع التلف المادي أو الخسارة. تحقق دائما من المعاملات بعناية قبل التوقيع - لا تؤكد أبدا بشكل أعمى.
محافظ ساخنة:
- استخدم فقط لتخزين مبالغ صغيرة مخصصة للمعاملات اليومية. تجنب تخزين الممتلكات الكبيرة.
- اختر المحافظ ذات السمعة الطيبة (على سبيل المثال ، MetaMask و Trust Wallet) وحافظ على تحديث البرنامج بانتظام.
المصدر: https://metamask.io/
2. حماية مفاتيحك الخاصة وعبارات البذور
- لا تشارك: مفتاحك الخاص أو عبارة البذرة هو الاعتماد الوحيد للوصول إلى أصولك - لا تشاركه مع أي شخص.
- نسخ احتياطي آمن: اكتب عبارة البذرة الخاصة بك وقم بتخزينها في مكان مقاوم للنار ومقاوم للماء (مثل خزنة). تجنب حفظها على أجهزة متصلة بالإنترنت.
- تخزين مجزأ: النظر في تقسيم عبارة البذرة إلى أجزاء وتخزين كل جزء في مواقع مختلفة لزيادة الأمان.
3. أمان الحساب والتبادل
- تمكين المصادقة ذات العاملين (2FA): استخدام تطبيقات مثل Google Authenticator بدلاً من 2FA القائم على الرسائل النصية، والذي يعرض للاختراق.
تطبيق Google Authenticator على متجر Play - كلمات مرور قوية: استخدم كلمة مرور تتكون من 12 حرفًا على الأقل، تتضمن حروف كبيرة وصغيرة وأرقام ورموز. قم بتغيير كلمات المرور بانتظام.
- تنويع التخزين: لا تخزن كل عملاتك الرقمية في محفظة واحدة أو منصة تبادل.
- اختر التبادلات الآمنة: اختر البورصات التي تتمتع بميزات مثل حماية DDoS والتخزين البارد، وقم بسحب الأموال الكبيرة بسرعة إلى المحافظ الخاصة.
- تعطيل الوصول غير الضروري لواجهة برمجة التطبيقات: منع السرقة عبر استغلال واجهة برمجة التطبيقات.
- استخدام مفاتيح المرور: المصادقة بأمان باستخدام الموافقة القائمة على الجهاز بدلاً من كلمات المرور.
المصدر: play.google.com
4. منع الهجمات الإلكترونية
- احذر من التصيد الاحتيالي: تحقق دائما من عناوين URL لمواقع الويب ، وتجنب النقر فوق رسائل البريد الإلكتروني أو النصوص أو روابط الوسائط الاجتماعية غير المعروفة.
- الجهاز المخصص: يُفضل استخدام جهاز منفصل بشكل حصري لعمليات التداول في مجال العملات الرقمية لتجنب التعرض للبرامج الضارة أو المواقع الخطيرة.
- التحقق من عناوين التحويل: تحقق من العنوان قبل إرسال الأموال لتجنب اختطاف الحافظة. \
المصدر: Kratikal على اختطاف الحافظة - تجنب استخدام شبكة الواي فاي العامة: استخدم شبكة الخصوصية الافتراضية (VPN) وتجنب إجراء المعاملات عبر الشبكات غير المؤمنة.
المصدر: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/
5. العقد الذكي وسلامة التمويل اللامركزي
- استخدم فقط عقود ذكية موثوقة: تعامل فقط مع العقود التي تمت مراجعتها من قبل شركات أمن معروفة.
أفضل المراجعين لتقنية البلوكشين من قبل شركة الكيمياءاختبار بمبالغ صغيرة: ابدأ بعملية اختبار صغيرة قبل التزام الأموال الكبيرة. - تجنب الاحتيال عالي العائد: كن حذرًا من مشاريع الديفي والتوكنات غير القابلة للتحويل ومشاريع زراعة العائد التي تعد بعوائد عالية بشكل غير عادي.
المصدر: https://www.alchemy.com/best/blockchain-auditing-companies
6. استراتيجية أمنية طويلة الأمد وتخطيط للحالات الطارئة
- استخدم محافظ الوقع المتعددة: اطلب موافقة عدة لتفويض المعاملات - مثالية لإدارة الأصول ذات القيمة العالية.
- التدقيقات العادية: استعراض دوري لأرصدة الأصول وتاريخ المعاملات للبحث عن أية غير اعتياديات.
- التخطيط القانوني والمالي: يُشمل حيازات العملات الرقمية في خطة الميراث أو وثائق الثقة الخاصة بك لتجنب الخسائر غير القابلة للعكس بسبب فقدان المفاتيح.
- ابق منخفض الملف الشخصي: لا تتباهى بثروتك في العملات الرقمية على وسائل التواصل الاجتماعي أو المنتديات العامة لتجنب أن تصبح هدفًا للقراصنة.
المصدر: coindesk.com
استنتاج
هذا الحادث لم ينتج فقط عن خسائر مالية كبيرة لـ Bybit ولكن أيضًا أثار مخاوف أوسع نطاقًا حول الثقة والأمان داخل صناعة العملات الرقمية. ونظرًا للمستقبل، يجب على التبادلات وفرق المشاريع والمستخدمين أن يضعوا تركيزًا أقوى على ممارسات الأمان القوية. يجب أن تتضمن المجالات الرئيسية للتركيز إدارة المفتاح الخاص، وتنفيذ محافظ التوقيع المتعدد، وفحوصات العقود الذكية الدقيقة.
مع تزايد التهديدات السيبرانية بشكل أكثر تطورا، من المتوقع أن تقدم الهيئات التنظيمية العالمية متطلبات أمنية أكثر صرامة. فعلى سبيل المثال، تقدم مجموعة العمل المالي العملة (FATF) اقتراحات جديدة لمكافحة غسيل الأموال تستهدف بروتوكولات السلاسل المتقاطعة لتعزيز الرقابة على منصات اللامركزية والتفاعلات متعددة السلاسل. بالتوازي مع ذلك، قد تزيد الوكالات مثل SEC الأمريكية والجهات التنظيمية الأوروبية من الرقابة على معايير أمان التبادل وتدعو إلى تشديد إجراءات مكافحة غسيل الأموال ومراقبة الهوية الخاصة.
بالنسبة للمستثمرين الأفراد، فإن حماية الأصول الرقمية تتطلب نهجًا استباقيًا. ويشمل ذلك اختيار منصات تتمتع بسجل أمان قوي، وتنويع طرق تخزين الأصول، والبقاء على اطلاع على المخاطر الناشئة. مع استمرار تطور النظام البيئي للعملات المشفرة، يجب أن تبقى الأمان أولوية أساسية لضمان النمو المستدام وثقة المستخدمين.
Artigos relacionados
كل ما تحتاج لمعرفته حول التداول بالاستراتيجية الكمية
بوابة البحوث: FTX 16 مليار دولار مزاعم التصويت القريب ، Pump.fun يدفع حركة مرور جديدة ، نظام SUI يلمع
تقرير حالة مجال العملات الرقمية 2024: بيانات جديدة عن الولايات المتأرجحة والعملات المستقرة والذكاء الاصطناعي وطاقة المباني وأكثر من ذلك
أكبر عملية سرقة في تاريخ العملات الرقمية: داخل مجموعة لازاروس
مقدمة
الجدول الزمني للحادث
ما هو مجموعة لازاروس؟
الهيكل التنظيمي
العمليات السابقة
كيف تستجيب المنصات لهجمات القراصنة
كيف يمكن للمستخدمين حماية أصولهم الرقمية
استنتاج
مقدمة
في مساء 21 فبراير 2025، تعرضت بيرصة تبادل العملات الرقمية العالمية بايبيت لأكبر اختراق في تاريخ صناعة العملات الرقمية. خلال الاختراق، تم سرقة أكثر من 500،000 إيثريوم، stETH، وmETH من محافظ بايبيت، حيث بلغت الخسائر الإجمالية أكثر من 1.46 مليار دولار بناءً على أسعار السوق في ذلك اليوم. تم نقل الأصول المسروقة بسرعة إلى عناوين محافظ غير معروفة. هذا الهجوم تفوق على اختراق Poly Network في عام 2021، الذي شهد سرقة بقيمة 611 مليون دولار، مما يجعله أكبر عملية سرقة في عالم العملات الرقمية.
المصدر: https://www.ic3.gov/PSA/2025/PSA250226
المصدر: https://x.com/benbybit/status/1894768736084885929
تأسست في عام 2018، بيبيت هي واحدة من أكبر بورصات العملات الرقمية في العالم، بحجم تداول يومي متوسط يتجاوز 36 مليار دولار. وفقًا لـ CoinMarketCap، كانت لدى بيبيت حوالي 16.2 مليار دولار في الأصول قبل الاختراق، مما يعني أن الإيثيريوم المسروق يمثل حوالي 9% من إجمالي الأصول الخاصة بها.
قدم المحلل الذي يعمل في مجال العملات الرقمية زاك إكس بي تدليكات تشير إلى أن الاختراق تم على الأرجح من قبل مجموعة القرصنة المرتبطة بكوريا الشمالية، مجموعة لازاروس. تلقى مكافأة بقيمة 30،000 دولار عن تحقيقه في الثغرة.
المصدر: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad
جدول زمني للحادث
الاختراق
استخدم المهاجمون واجهة مستخدم مزيفة (UI) لاختراق جهاز الكمبيوتر لموظف من Safe (مزود المحفظة)، مستهدفين بشكل خاص الواجهة الأمامية لنظام Safe الخاص بـ Bybit. من خلال تقليد واجهة مستخدم شرعية، يمكن للمخترقين التسلل إلى محفظة Bybit الباردة متعددة التوقيع ETH. قام المخترقون بتغيير محتوى العملية التي تبدو كعملية عادية بشكل متسلل خلال عملية العملية.
نظرًا لأن الأشخاص الذين وقعوا الوثائق اعتقدوا أنهم كانوا يُفوضون صفقة شرعية، فإنهم فشلوا في اكتشاف أنه تم استبدالها بعقد ضار. وقد أدى هذا إلى تحويل غير مصرح به لمبلغ 1.46 مليار دولار من ETH إلى عناوين غير معروفة تحت سيطرة المهاجمين.
سير الهجوم والأساليب والدفاع:
حركة الأموال وغسيل الأموال
بين الساعة 3:00 مساء و 4:30 مساء في 21 فبراير 2025 ، أكمل المتسللون غالبية تحويلات الأموال. بعد الهجوم ، بقي حوالي 3 ملايين دولار فقط من ETH في المحفظة الأساسية. تم تقسيم ETH المسروقة إلى 40 معاملة بقيمة 10000 ETH لكل منها ، بينما تم توزيع stETH و mETH على محافظ مختلفة متعددة لإخفاء مسار الأموال. بعد ذلك ، استخدم المتسللون التبادلات اللامركزية (DEXs) لمزيد من تجزئة الأموال وغسلها ، بهدف محو جميع الآثار.
تأثير السوق
حتى قبل أن تؤكد Bybit رسميا الاختراق ، بدأت أسعار BTC و ETH في الانخفاض. في غضون ساعات من الإعلان ، انخفضت عملة البيتكوين بنسبة 3٪ ، بينما انخفضت Ethereum بنسبة 7٪.
في نهاية الأسبوع، ارتدت الإيثيريوم إلى 2,800 دولار بعد عملية recompra التي بدأتها Bybit، لكنها انخفضت مرة أخرى بحلول يوم الاثنين. أصبح القراصنة الآن أكبر حامل للإيثيريوم في المركز 14، وقد تضع تركيز مثل هذه الأموال ضغطًا سلبيًا على توقعات سوق الإيثيريوم.
المصدر: https://x.com/Bybit_Official/status/1893585578706227545
جدل حول بروتوكولات السلسلة المتقاطعة
تستخدم مجموعة لازاروس بشكل متكرر بروتوكولات تبادل عبر السلاسل مثل THORChain لتحويل الأصول المسروقة إلى بيتكوين. يسهل THORChain تبادلات مباشرة بين سلاسل مختلفة، مثل ETH إلى BTC، دون الحاجة إلى المراكز التبادلية المركزية.
وفقًا لمستكشف THORChain ، بلغ حجم البروتوكول على مدار 24 ساعة في 5 مارس 93 مليون دولار. واجه مطورو البروتوكول انتقادات شديدة لتمكينهم من التعاملات غير المشروعة من قبل قراصنة كوريا الشمالية.
المصدر: https://thorchain.net/dashboard
ما هو مجموعة لازاروس؟
مجموعة لازاروس هي واحدة من أكثر منظمات القرصنة نشاطًا وسوء السمعة عالميا. يأتي اسم "لازاروس" من الشخصية الكتابية التي عادت للحياة، مما يرمز إلى الصمود والنهوض.
يُشار أيضًا إليها بـ "الحراس" أو "السلام" أو "فريق Whois"، وبقية الأعضاء والهيكل الداخلي للمجموعة مجهولان بشكل كبير. ومع ذلك، يعتقد على نطاق واسع أنها تعمل تحت السيطرة المباشرة لحكومة كوريا الشمالية. بدأت في الأصل كعصابة إجرامية إلكترونية، لكن لقد تطورت مع الوقت بسبب مدى وتطور هجماتها. يُعتبر الآن مجموعة التهديد الدائم المتقدمة (APT).
تطلق مؤسسات مختلفة على لازاروس أسماء مختلفة:
- وزارة الأمن الداخلي الأمريكية تسميها "الكوبرا الخفية"
- تشير مايكروسوفت إليه بـ "ZINC" أو "Diamond Sleet"
وفقًا لضابط المخابرات الكوري الشمالي السابق كيم كوك-سونغ، يُعرف الفريق داخليًا في كوريا الشمالية بمكتب الارتباط 414.
ذكرت وزارة العدل الأمريكية أن مجموعة لازاروس تعمل كامتداد لدولة كوريا الشمالية. وتتجاوز أنشطتها التعطيل السيبراني وتشمل الجهود الرامية إلى تجاوز العقوبات الدولية وتوليد إيرادات غير مشروعة. من خلال تنفيذ هجمات إلكترونية منخفضة التكلفة وعالية التأثير ، يمكن لكوريا الشمالية نشر فرق صغيرة من المتسللين الذين يشكلون تهديدات كبيرة للأنظمة المالية العالمية والبنية التحتية الحيوية ، لا سيما في كوريا الجنوبية والدول الغربية.
المصدر: https://en.wikipedia.org/wiki/Lazarus_Group
الهيكل التنظيمي
تتألف مجموعة لازاروس في المقام الأول من فرعين:
1. بلو نور أوف
والمعروف أيضًا باسم APT38 أو Stardust Chollima أو BeagleBoyz، تركز BlueNorOff على الجريمة المالية عبر الإنترنت، وغالبًا ما تشمل عمليات احتيالية باستخدام تحويلات SWIFT لنقل الأموال بشكل غير قانوني. استهدفت المجموعة مؤسسات مالية في مختلف البلدان، حيث يُعتقد أن الأموال المسروقة تُستخدم لدعم برامج كوريا الشمالية للصواريخ والأسلحة النووية.
حدثت أكثر عملياتهم شهرة في عام 2016 ، عندما حاولوا سرقة ما يقرب من مليار دولار من خلال شبكة SWIFT. منع خطأ إملائي في أحد التعليمات بنك الاحتياطي الفيدرالي في نيويورك من إكمال جزء من التحويلات. يستخدم BlueNorOff تكتيكات مثل التصيد الاحتيالي والأبواب الخلفية والاستغلال والبرامج الضارة (على سبيل المثال ، DarkComet و WannaCry). كما أنها تتعاون مع مجموعات مجرمي الإنترنت الأخرى لتوسيع قنوات الأموال غير المشروعة ، مما يزيد من مخاطر الأمن السيبراني العالمية.
2. أنداريل
المعروفة أيضًا باسم "Silent Chollima," "Dark Seoul," "Rifle," و "Wassonite," Andariel متخصصة في الهجمات السيبرانية المستهدفة لكوريا الجنوبية، ومعروفة بعملياتها الخفية. وفقًا لتقرير للجيش الأمريكي عام 2020، يتألف الفريق من حوالي 1,600 عضو مسؤولين عن الاستطلاع السيبراني، وتقييم الثغرات، ورسم بنى تحتية للشبكات العدو للتحضير للهجمات المستقبلية.
إلى جانب استهداف كوريا الجنوبية، أطلقت أنداريل هجمات أيضًا على وكالات حكومية وبنية تحتية حيوية وشركات في بلدان أخرى.
المصدر: https://home.treasury.gov/news/press-releases/sm774
العمليات السابقة
على مر السنين، قامت مجموعة لازاروس بشن سلسلة من الهجمات الإلكترونية حول العالم. بدءًا من الحملات الأولية لنفي الخدمة مثل عملية تروي (2009) وعشرة أيام من المطر (2011)، فقد تطوروا إلى عمليات أكثر تعقيدًا تشمل:
- مسح البيانات (على سبيل المثال، عملية سيول الداكنة، 2013)
- سرقة البيانات (على سبيل المثال، اختراق سوني بيكتشرز، 2014)
- سرقات مالية (بدءاً من عام 2015)
منذ عام 2017، استهدفت المجموعة بشكل كبير قطاع العملات الرقمية، مشنت هجمات على:
- تبادلات مثل Bithumb، Youbit، Atomic Wallet، و WazirX
- جسور السلسلة المتقاطعة مثل جسر الأفق
- ألعاب سلسلة الكتل مثل أكسي إنفينيتي
سرقت حملاتهم مليارات الدولارات من الأصول الرقمية.
في السنوات الأخيرة، استمر لازاروس في التوسع في قطاعات جديدة، بما في ذلك الرعاية الصحية وأمن المعلومات والمقامرة عبر الإنترنت. في عام 2023 وحده، تسببت المجموعة في خسائر تقدر بحوالي 300 مليون دولار، ما يمثل 17.6% من جميع الأضرار الناتجة عن القرصنة على مستوى العالم.
المصدر: https://x.com/Cointelegraph/status/1894180646584516772
كيف تستجيب المنصات لهجمات القراصنة
تعتمد بورصات العملات الرقمية عادة استراتيجية أمان شاملة تعتمد على أربعة أركان رئيسية: الوقاية، الكشف، استجابة الحوادث، والاستعادة.
1. تدابير وقائية (الدفاع التكتيكي)
- تعزيز هندسة الأمان: تنفيذ فصل المحافظ الباردة والساخنة، وتخزين معظم الأصول في محافظ باردة غير متصلة بالإنترنت، واستخدام آليات التفويض متعددة التوقيع (متعددة الامضاءات).
- ضبط صارم للوصول: قيد وصول الموظفين إلى البيانات الحساسة واعتماد نموذج أمان Zero Trust للحد من التهديدات الداخلية أو الأنظمة الداخلية المخترقة.
- تعزيز أمان العقد الذكي: إجراء فحوص أمان شاملة للعقود الذكية لتجنب الثغرات مثل هجمات إعادة الدخول وتجاوزات الأعداد الصحيحة.
- المصادقة متعددة العوامل (MFA): اطلب من جميع المسؤولين والمستخدمين تمكين 2FA (المصادقة ذات العاملين) لتقليل مخاطر اختراق الحسابات.
- حماية من هجمات رفض الخدمة الموزعة (DDoS): استخدام شبكات توزيع المحتوى (CDN) والخوادم الوكيلة العكسية للدفاع ضد هجمات رفض الخدمة الموزعة (DDoS)، مما يضمن توفر المنصة.
2. الكشف في الوقت الحقيقي (تحديد التهديدات بسرعة)
- مراقبة الشذوذ: استفد من الذكاء الاصطناعي وتعلم الآلة لاكتشاف أنماط المعاملات المشبوهة وإشارة السحب غير المعتادة أو التحويلات الكبيرة.
- تحليل سلسلة الكتل: التعاون مع شركات الاستخبارات البلوكشين مثل Chainalysis و Elliptic لمراقبة العناوين المدرجة في القائمة السوداء ومنع تدفقات الأموال غير المشروعة.
- سجلات التدقيق: الحفاظ على سجلات شاملة لجميع العمليات الحساسة (على سبيل المثال، السحوبات، تغييرات الأذونات) وإجراء التدقيق في الوقت الحقيقي.
مصدر: demo.chainalysis.com
3. استجابة الحادث (بروتوكولات ما بعد الهجوم)
- تجميد الحساب الفوري: عند اكتشاف سحب مشبوهة، قم بتعليق الحسابات المتأثرة على الفور وتجميد تحويلات الأموال لمنع حدوث مزيد من الخسائر.
- إخطار الشركاء: إنذار سريع للتبادلات الأخرى، وشركات أمان البلوكشين، ووكالات إنفاذ القانون لتتبع الأصول المسروقة.
- تصحيح الثغرات: قم بتحليل نقطة الهجوم بسرعة، وأغلق أي ثغرات، ومنع حدوثها مرة أخرى.
- تواصل مستخدم شفاف: قم بنشر الإعلانات على الفور لإبلاغ المستخدمين بالحادث وخطوات الإصلاح.
4. استعادة الأصول (تخفيف الخسائر)
- التعاون مع الإنفاذ القانوني: العمل مع الوكالات الدولية مثل مكتب التحقيقات الفدرالي، الإنتربول، وشركات تتبع تقنية بلوكشين لاستعادة الأموال المسروقة.
- تعويض التأمين: تحتفظ بعض المنصات بسياسات تأمين على الاختراق لتعويض المستخدمين المتأثرين.
صناديق الطوارئ: قم بإنشاء صناديق طوارئ مثل SAFU (صندوق الأصول الآمنة للمستخدمين) من Gate.io لحماية أصول المستخدم أثناء الحوادث الخطيرة.
حتى 5 مارس 2025 ، بلغت صندوق الاحتياطي لـ Gate.io 10.328 مليار دولار ، مما يؤكد على قوتها المالية وقدراتها على حماية المستخدم.
المصدر: www.gate.io
المصدر: https://www.gate.io/safu-user-assets-security-fund
ركن أساسي لأمان منصة العملات الرقمية يكمن في المبدأ:
"الوقاية أولاً، الكشف الفوري، الاستجابة الفعالة، والتعافي القوي."
يمكن للمنصات تعظيم حماية أصول المستخدم عن طريق دمج بنية أمان محسنة وتحليل سلسلة الكتل وآليات استجابة سريعة.
كيف يمكن للمستخدمين حماية أصولهم المشفرة
العملات الرقمية هي تمامًا رقمية، وبمجرد فقدانها أو سرقتها، يكون من الصعب جدًا استعادتها من خلال الوسائل التقليدية (على سبيل المثال، البنوك). لذلك، من الضروري اتخاذ احتياطات أمنية صارمة. فيما يلي الاستراتيجيات الأساسية لحماية أصولك الرقمية:
1. اختر طرق تخزين آمنة
التخزين البارد:
- استخدم محافظ الأجهزة (مثل ليدجر، تريزور) أو محافظ الورق لتخزين معظم الأصول في وضع عدم الاتصال بالإنترنت، بعيدًا عن الهجمات المعتمدة على الإنترنت.
- ملاحظة: تعامل مع محافظ الأجهزة بعناية لمنع التلف المادي أو الخسارة. تحقق دائما من المعاملات بعناية قبل التوقيع - لا تؤكد أبدا بشكل أعمى.
محافظ ساخنة:
- استخدم فقط لتخزين مبالغ صغيرة مخصصة للمعاملات اليومية. تجنب تخزين الممتلكات الكبيرة.
- اختر المحافظ ذات السمعة الطيبة (على سبيل المثال ، MetaMask و Trust Wallet) وحافظ على تحديث البرنامج بانتظام.
المصدر: https://metamask.io/
2. حماية مفاتيحك الخاصة وعبارات البذور
- لا تشارك: مفتاحك الخاص أو عبارة البذرة هو الاعتماد الوحيد للوصول إلى أصولك - لا تشاركه مع أي شخص.
- نسخ احتياطي آمن: اكتب عبارة البذرة الخاصة بك وقم بتخزينها في مكان مقاوم للنار ومقاوم للماء (مثل خزنة). تجنب حفظها على أجهزة متصلة بالإنترنت.
- تخزين مجزأ: النظر في تقسيم عبارة البذرة إلى أجزاء وتخزين كل جزء في مواقع مختلفة لزيادة الأمان.
3. أمان الحساب والتبادل
- تمكين المصادقة ذات العاملين (2FA): استخدام تطبيقات مثل Google Authenticator بدلاً من 2FA القائم على الرسائل النصية، والذي يعرض للاختراق.
تطبيق Google Authenticator على متجر Play - كلمات مرور قوية: استخدم كلمة مرور تتكون من 12 حرفًا على الأقل، تتضمن حروف كبيرة وصغيرة وأرقام ورموز. قم بتغيير كلمات المرور بانتظام.
- تنويع التخزين: لا تخزن كل عملاتك الرقمية في محفظة واحدة أو منصة تبادل.
- اختر التبادلات الآمنة: اختر البورصات التي تتمتع بميزات مثل حماية DDoS والتخزين البارد، وقم بسحب الأموال الكبيرة بسرعة إلى المحافظ الخاصة.
- تعطيل الوصول غير الضروري لواجهة برمجة التطبيقات: منع السرقة عبر استغلال واجهة برمجة التطبيقات.
- استخدام مفاتيح المرور: المصادقة بأمان باستخدام الموافقة القائمة على الجهاز بدلاً من كلمات المرور.
المصدر: play.google.com
4. منع الهجمات الإلكترونية
- احذر من التصيد الاحتيالي: تحقق دائما من عناوين URL لمواقع الويب ، وتجنب النقر فوق رسائل البريد الإلكتروني أو النصوص أو روابط الوسائط الاجتماعية غير المعروفة.
- الجهاز المخصص: يُفضل استخدام جهاز منفصل بشكل حصري لعمليات التداول في مجال العملات الرقمية لتجنب التعرض للبرامج الضارة أو المواقع الخطيرة.
- التحقق من عناوين التحويل: تحقق من العنوان قبل إرسال الأموال لتجنب اختطاف الحافظة. \
المصدر: Kratikal على اختطاف الحافظة - تجنب استخدام شبكة الواي فاي العامة: استخدم شبكة الخصوصية الافتراضية (VPN) وتجنب إجراء المعاملات عبر الشبكات غير المؤمنة.
المصدر: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/
5. العقد الذكي وسلامة التمويل اللامركزي
- استخدم فقط عقود ذكية موثوقة: تعامل فقط مع العقود التي تمت مراجعتها من قبل شركات أمن معروفة.
أفضل المراجعين لتقنية البلوكشين من قبل شركة الكيمياءاختبار بمبالغ صغيرة: ابدأ بعملية اختبار صغيرة قبل التزام الأموال الكبيرة. - تجنب الاحتيال عالي العائد: كن حذرًا من مشاريع الديفي والتوكنات غير القابلة للتحويل ومشاريع زراعة العائد التي تعد بعوائد عالية بشكل غير عادي.
المصدر: https://www.alchemy.com/best/blockchain-auditing-companies
6. استراتيجية أمنية طويلة الأمد وتخطيط للحالات الطارئة
- استخدم محافظ الوقع المتعددة: اطلب موافقة عدة لتفويض المعاملات - مثالية لإدارة الأصول ذات القيمة العالية.
- التدقيقات العادية: استعراض دوري لأرصدة الأصول وتاريخ المعاملات للبحث عن أية غير اعتياديات.
- التخطيط القانوني والمالي: يُشمل حيازات العملات الرقمية في خطة الميراث أو وثائق الثقة الخاصة بك لتجنب الخسائر غير القابلة للعكس بسبب فقدان المفاتيح.
- ابق منخفض الملف الشخصي: لا تتباهى بثروتك في العملات الرقمية على وسائل التواصل الاجتماعي أو المنتديات العامة لتجنب أن تصبح هدفًا للقراصنة.
المصدر: coindesk.com
استنتاج
هذا الحادث لم ينتج فقط عن خسائر مالية كبيرة لـ Bybit ولكن أيضًا أثار مخاوف أوسع نطاقًا حول الثقة والأمان داخل صناعة العملات الرقمية. ونظرًا للمستقبل، يجب على التبادلات وفرق المشاريع والمستخدمين أن يضعوا تركيزًا أقوى على ممارسات الأمان القوية. يجب أن تتضمن المجالات الرئيسية للتركيز إدارة المفتاح الخاص، وتنفيذ محافظ التوقيع المتعدد، وفحوصات العقود الذكية الدقيقة.
مع تزايد التهديدات السيبرانية بشكل أكثر تطورا، من المتوقع أن تقدم الهيئات التنظيمية العالمية متطلبات أمنية أكثر صرامة. فعلى سبيل المثال، تقدم مجموعة العمل المالي العملة (FATF) اقتراحات جديدة لمكافحة غسيل الأموال تستهدف بروتوكولات السلاسل المتقاطعة لتعزيز الرقابة على منصات اللامركزية والتفاعلات متعددة السلاسل. بالتوازي مع ذلك، قد تزيد الوكالات مثل SEC الأمريكية والجهات التنظيمية الأوروبية من الرقابة على معايير أمان التبادل وتدعو إلى تشديد إجراءات مكافحة غسيل الأموال ومراقبة الهوية الخاصة.
بالنسبة للمستثمرين الأفراد، فإن حماية الأصول الرقمية تتطلب نهجًا استباقيًا. ويشمل ذلك اختيار منصات تتمتع بسجل أمان قوي، وتنويع طرق تخزين الأصول، والبقاء على اطلاع على المخاطر الناشئة. مع استمرار تطور النظام البيئي للعملات المشفرة، يجب أن تبقى الأمان أولوية أساسية لضمان النمو المستدام وثقة المستخدمين.
Artigos relacionados
كل ما تحتاج لمعرفته حول التداول بالاستراتيجية الكمية
بوابة البحوث: FTX 16 مليار دولار مزاعم التصويت القريب ، Pump.fun يدفع حركة مرور جديدة ، نظام SUI يلمع