بنا بر گزارش سایت خبری کوین پیپر، گروه هکری دولتی لازاروس (Lazarus Group)، وابسته به دولت کره شمالی، دیروز ۲۱ فوریه ۲۰۲۵ (۳ اسفند ۱۴۰۳) طی یک حمله بسیار پیچیده و حسابشده موفق شد معادل ۱/۴۶ میلیارد دلار از ذخایر صرافی بایبیت (Bybit)، یکی از بزرگترین صرافیهای بازار کریپتو را به سرقت ببرد.
طبق گزارش سایت «Whale Alert»، طی این حمله بیش از ۴۰۱ هزار اتریوم، به ارزش تقریبی ۱/۱۳ میلیارد دلار، از کیف پول نرمافزاری (Hot Wallet) این صرافی به یک آدرس ناشناس منتقل شد. بن ژو (Ben Zhou)، مدیرعامل صرافی بایبیت هم تأیید کرده است که موجودی اتریوم یکی از کیف پولهای سختافزاری (Cold Wallet) به سرقت رفته است.
ظاهراً این هکرها برای حمله به کیف پول سختافزاری چند امضایی (Multisig) این صرافی از روشی با نام «یوآی اسپوفینگ» (UI Spoofing) استفاده کردهاند. همانطور که میدانید برای تأیید تراکنشهای این نوع کیف پولها باید دو یا چند نفر تراکنشها را تأیید یا بهاصطلاح امضا کنند؛ اما هکرها موفق شدند با ایجاد یک صفحه وب کاملاً مشابه با پلتفرم مدیریتی این کیف پول، امضاکنندگان را فریب دهند.
امضاکنندگان اطلاع نداشتند که با این کار در واقع تراکنشی را تأیید کردهاند که منطق قراردادهای هوشمند این پلتفرم را به نفع هکرها تغییر میدهد. مهاجمان هم بعد از امضای این تراکنش کنترل یکی از کیف پولهای سختافزاری اتریوم صرافی بایبیت را به دست گرفتند و تمام داراییهای آن را به یک آدرس نامعلوم منتقل کردند. البته بر اساس این گزارش، هکرها علاوه بر اتریوم، معادل ۵۶۰ میلیون دلار تتر (USDT) را هم به یک کیف پول نرمافزاری دیگر منتقل کردهاند.
طبق گفته میر دولف (Meir Dolev)، مؤسس و مدیر ارشد فناوری شرکت امنیت سایبری سایورس (Cyverse)، این تراکنشها تنها دو دقیقه بعد از بازنویسی کدهای برنامهنویسی کیف پول چند امضایی بایبیت که باهدف ارسال تماسهای آن به یک قرارداد هوشمند تقلبی صورت گرفت، انجام شده است.
هکرها این حمله را در پوشش یک تراکنش کاملا قانونی انجام دادند و کاربران از همه جا بیخبر هم آن را امضا کردند. از آن زمان به بعد هکرها کنترل کیف پول موردنظر خود را به دست آوردند و دیگر به امضای کاربران نیازی نداشتند. این کاملا مشابه حملاتی است که به صرافی وزیر اکس (WazirX) و پلتفرم ریدینت کپیتال (Radiant Capital) صورت گرفته بود.
میر دولف
صرافی بایبیت در واکنش به این حمله اعلام کرده است که برداشتهای این صرافی متوقف نشده است و همه کیف پولهای دیگر این صرافی کاملا امن هستند.
ما به همه کاربران و همکاران بایبیت اطمینان میدهیم که تمام کیف پولهای سختافزاری ما کاملا امن هستند. تمام وجوه مشتریان سر جایش است و در کارکرد هیچکدام از بخشهای عملیاتی پلتفرم ما وقفهای ایجاد نشده است.
صرافی بایبیت
با این وجود، چانگپنگ ژائو (CZ)، مدیرعامل سابق صرافی بایننس، با ارسال پیامی در شبکه اجتماعی ایکس به بایبیت توصیه کرده است که برداشتهای این پلتفرم را موقتا متوقف کند.
مقابله با این شرایط کار آسانی نیست. پیشنهاد میکنم که برای رعایت تدابیر امنیتی برداشتها را برای مدتی متوقف کنید. اگر به کمک احتیاج داشتید در خدمتم. موفق باشید!
چانگپنگ ژائو
به فاصله ۳۰ دقیقه بعد از انتشار این خبر معادل ۲۰۰ میلیون دلار از اتریومهای استیکشده (stETH) پلتفرم لایدو (Lido) لیکویید شد و قیمت اتریوم هم در واکنش به این خبر در طی تنها چند دقیقه ۳ درصد سقوط کرد.
طبق گزارش سایت Bitcoin.com، توانایی گروه لازاروس در دورزدن لایههای امنیتی و کیف پولچند امضایی بایبیت نشان از تخصص و سواد فنی بسیار بالای این گروه در استفاده از نقاط ضعف متنوع پلتفرمهای معاملاتی ارزهای دیجیتال دارد. لازاروس معمولاً با پخشکردن و فروش سریع وجوه سرقتی از طریق صرافیهای غیرمتمرکز (DEXs) و میکسرهای بیت کوین، کار ردیابی و شناسایی مقصد این تراکنشها را دشوار و حتی غیرممکن میکند.
حمله دیروز گروه هکری لازاروس و موفقیتهای گذشته آن در هککردن صرافیها، پلتفرمها و پروژههای مختلف ارزهای دیجیتال باعث شد که بازار بحثها و مناقشات کارشناسان در مورد ضعف صنعت کریپتو در برابر حملات کشورهای متخاصم را دوباره داغ شود.
ترکیب حمایتهای دولتی، توانایی و دقت بسیار بالای فنی و صبر و تحمل بسیار عالی این هکرها در اجرای حملات، گروه هکری لازاروس را به یکی از بزرگترین و خطرناکترین گروههایی تبدیل کرده است که در حال حاضر امنیت مالی و اقتصادی جهان را تهدید میکنند. هک دیروز صرافی بایبیت نشان میدهد که جنگ بین تبهکاران سایبری جهان و صنعت کریپتو به مراحل حساسی رسیده است.
