انتهى لازاروس من غسل جميع Ethereum التي سرقها من بايبت

تم غسل كل ما سرقته مجموعة لازاروس سيئة السمعة من منصة Bybit، والبالغ 499000 إيثيريوم - بقيمة 1.39 مليار دولار - بالكامل، ولم يستغرق الأمر سوى 10 أيام حتى اختفت العملات المشفرة المسروقة في سلسلة الكتل، وفقًا لـ EmberCN على X.

وفي هذه العملية، انهار سعر Ethereumبنسبة 23%، حيث انخفض من 2780 دولارًا إلى 2130 دولارًا مع تحويل الأموال المسروقة عبر منصات خلط العملات والبورصات.

هل فشلت حملة المكافآت التي أطلقتها شركة Bybit لاستعادة الأموال المسروقة؟

تُعرف مجموعة لازاروس، وهي مجموعة قرصنة كورية شمالية مدعومة من الدولة، بتكتيكاتها في الهندسة الاجتماعية واستغلالها للثغرات الأمنية غير المعروفة. يُزعم أن المجموعة يقودها بارك جين هيوك، المطلوب من قبل مكتب التحقيقات الفيدرالي، لكن كوريا الشمالية نفت وجوده ووجود لازاروس مرارًا وتكرارًا.

على أي حال، استخدم المخترقون سيئو السمعة منصة THORChain كخدمة غسيل أموال رئيسية، حيث قاموا بتحويل 5.9 مليار دولار عبر الشبكة. وجمعت المنصة 5.5 مليون دولار كرسوم معاملات أثناء قيام لازاروس بتحويل الأموال، مما يجعلها أكبر عملية غسيل أموال في تاريخ العملات المشفرة.

الأموال الآن مبعثرة، ويستحيل استردادها. في غضون ذلك، تشنّ منصة Bybit هجومًا مضادًا، عارضةً ملايين الدولارات كمكافآت لمن يدلي بأي معلومات تقود إلى الأصول المسروقة. قبل أسبوع واحد فقط، أعلن بن تشو، الرئيس التنفيذي والمؤسس المشارك للمنصة، عن برنامج مكافآت ضخم tracالإيثيريوم المفقود.

وقد دفعت المكافأة، التي تم نشرها على موقع lazarusbounty.com، بالفعل أكثر من 4 ملايين دولار للأفراد الذين ساعدوا tracالمعاملات المرتبطة بالسرقة.

قال تشو في منشور على موقع X: "لن نتوقف حتى يتم القضاء على لازاروس أو العناصر السيئة في هذه الصناعة. وفي المستقبل، سنفتح المجال أمام ضحايا لازاروس الآخرين أيضاً"

نظام المكافآت كالتالي: إذا قام شخص ماdentوالإبلاغ عن معاملة بلوك تشين مرتبطة باختراق Bybit، فسيحصل على 5% من العملات المشفرة المستردة. كما ستحصل أي منصة تداول أو خلط عملات يساعد في الاسترداد على 5% أيضًا. إجمالاً، تبلغ قيمة المكافآت المتاحة حوالي 140 مليون دولار.

كما أعلن تشو عن إنشاء "منصة مكافآت القرصنة"، وهي مبادرة جديدة على مستوى القطاع تهدف إلى مكافحة سرقة العملات الرقمية. وقال تشو: "أشعر بالحماس إزاء روح التعاون الرائعة على سلاسل الكتل وفي الواقع. قد تكون هذه لحظة فارقة في قطاعنا إذا أحسنا استغلالها. معًا، نستطيع بناء نظام دفاعيtronضد التهديدات الإلكترونية".

وقع اختراق منصة Bybit في 21 فبراير الساعة 12:30 بالتوقيت العالمي المنسق. كانت الأموال تُنقل من محفظة باردة (تخزين غير متصل بالإنترنت) إلى محفظة ساخنة (تخزين متصل بالإنترنت). عندها وقع الهجوم.

كشف تحقيق داخلي أجرته شركة Bybit أن قراصنة عدّلوا منطقtracالذكي، ما أدى إلى اختطاف عملية التحويل. وبدلاً من تحويل أكثر من 400 ألف عملة من الإيثيريوم (ETH) وstETH، بقيمة تتجاوز 1.5 مليار دولار، إلى محفظة مجهولة المصدر يتحكم بها المهاجمون، بدلاً من تحويلها إلى المحفظة الساخنة المقصودة.

tracشركتا Sygnia Labs وVerichains الاختراق إلى SafeWallet، وهو البرنامج الذي استخدمته Bybit لإدارة معاملاتها، ويعتقد هؤلاء الأشخاص أن Lazarus قام بتعديل كود JavaScript الخاص بالمنصة، مما سمح لهم بإعادة توجيه ETH إلى حساباتهم الخاصة.

من المرجح أن يكون الاختراق قد بدأ بخرقٍ في البنية التحتية السحابية. كان تطبيق SafeWallet مُستضافًا على خوادم AWS S3 وCloudFront، وقد تم اختراق أحد هذه الحسابات. أكد مُزوّد ​​البرمجيات لاحقًا إصابة أحد أجهزة المطورين لديه، مما أدى إلى حقن برمجيات خبيثة في النظام.

"خلصت المراجعة الجنائية للهجوم المستهدف الذي شنته مجموعة لازاروس على بايبت إلى أن هذا الهجوم استهدف بايبت سيف وتم تنفيذه من خلال جهاز مخترق لمطور سيف واليت مما أدى إلى اقتراح معاملة خبيثة متخفية"، كما ذكرت سيف واليت في تقريرها الاستقصائي.