أصدرت Safe Wallet تحديثًا بشأن اختراق Bybit الذي بلغت خسائره 1.5 مليار دولار، وتضمنت قائمة بالتحسينات الأمنية الجديدة

أعلنت منصة Safe، وهي منصة محافظ متعددة التوقيعات كانت محور عملية اختراق Bybit التي بلغت قيمتها 1.5 مليار دولار في 21 فبراير، عن تحديث لنتائج تحقيقها في عملية الاختراق بالتعاون مع شركة الأمن السيبراني Mandiant. كما أوضحت المنصة الدروس المستفادة من عملية الاختراق والإجراءات اللازمة لتعزيز الأمن في مجتمع العملات الرقمية.

حمّل مكتب التحقيقات الفيدرالي الأمريكي مسؤولية الاختراق لمجموعة التهديدات المتقدمة المستمرة الكورية الشمالية "تريدر ترايتور"، التي حددهاdentنُشر في عام 2022 على أنها نفس المجموعة المعروفة باسم "مجموعة لازاروس" وغيرها من الأسماء. وأكدت شركة "مانديانت"، التي تشير إلى المجموعة باسم UNC4899، هذه المسؤولية، وفقًا لما ذكره موقع "سيف" مقال في 6 مارس. ويتلقى المخترقون دعمًا من الحكومة الكورية الشمالية.

كانت عملية الاختراق مُدبّرة بشكل جيد

تمكن المهاجمون من اختراق جهاز الكمبيوتر المحمول الخاص بمطور Safe الذي "كان لديه صلاحيات وصول أعلى لأداء مهامه". كما قاموا باختطاف رموز جلسة AWS لتجاوز المصادقة متعددة العوامل. 

لا يزال التحقيق جارياً لفهم تصرفات المهاجمين بعد اختراق الحاسوب. وتتعقد هذه المهمة بسبب قيام المهاجمين بحذف برامجهم الخبيثة بعد الانتهاء من عملهم، ومسح سجل أوامر Bash. Bash هي واجهة سطر أوامر يستخدمها المبرمجون في أنظمة التشغيل الشبيهة UNI.

تم اختراق جهاز المطور في 4 فبراير، وفقًا لما أفاد به موقع Safe، وتمكن المهاجمون من الوصول إلى بيئة AWS الخاصة بـ Safe في اليوم التالي. وبحلول 19 فبراير، تم إدخال شيفرة جافا سكريبت خبيثة على موقع Safe الإلكتروني. وفي 21 فبراير الساعة 14:13 بالتوقيت العالمي المنسق، تم استغلال ثغرة Bybit. أُزيلت الشيفرة الخبيثة بعد دقيقة، ونُفذت عملية سرقة Bybit بعد دقيقة أخرى.

تم اختراق الحاسوب عبر مشروع Docker، وهو برنامج يُستخدم في تصميم التطبيقات. سبق للمخترقين استخدام مشاريع Docker لزرع برمجيات خبيثة. استهدف المعاملة التالية لمحفظة Bybit متعددة التوقيعات الباردة لإيثيريوم. 

وافق الرئيس التنفيذي لشركة Bybit، بن تشو، شخصيًا على المعاملة المصيرية، والتي كان من المفترض أن تنقل بعض عملات ETH الخاصة بها من التخزين البارد إلى محفظة ساخنة بعد تلقي رابط مزيف من Safe.

شركة Bybit أوضحت في يوم الاختراق: "تم التلاعب بهذه المعاملة من خلال هجوم متطور أخفى واجهة التوقيع، وعرض العنوان الصحيح مع تغييرtracمنطق العقد الذكي الأساسي"

تجاوز المهاجمون خمس طبقات أمنية على الأقل من نظام Safe في عملية الاختراق. وقد أعلنت Safe عن العديد من عمليات إعادة الضبط والتحسينات التي أجرتها للقضاء على التهديداتdentوتعزيز الأمان. ولم تتأثرtracSafe الذكية وشفرتها المصدرية بعملية الاختراق.

كان من الممكن منع عملية الاختراق

وخلصت شركة Safe إلى أن مؤسسات Web3 "تحتاج إلى تحسينات كبيرة في تجربة المستخدم تُسهّل إدارة المعاملات الآمنة". وأضافت: "إن عملية توقيع المعاملة نفسها تُعدّ حاليًا خط الدفاع الأخير، ولن تكون فعّالة إلا إذا فهم المستخدم ما يُوقّع عليه"

Safe، والتي غالبًا ما يُكتب اسمها Safe{Wallet}، هي محفظةtracذكية تقوم بتخزين التوقيعات وإجراء عمليات التحقق للتأكد من استيفاء جميع الموافقات المطلوبة قبل إرسال المعاملة إلى سلسلة الكتل (البلوك تشين).

رغم تعرض منصة Safe للاختراق، إلا أن الخبراء انتقدوا Bybit لضعف إجراءاتها الأمنية. فقد استخدمت Bybit النسخة المجانية من خدمات Safe، والتي وُصفت بأنها أنسب لهواة العملات الرقمية، في حين كان هناك برامج أكثر تطوراً متاحة. 

لاحظت شركة Bybit قبل أشهر أن البرنامج غير متوافق مع خدمات الأمان الأخرى، مما حال دون اطلاع Zhou على التفاصيل الكاملة لعملية النقل.

قام المتسللون بغسل جميع عملات الإيثيريوم المسروقة والبالغة 499,000 بحلول 4 مارس.