اختراق Bybit عام 2025: Evilcos يحلل سرقة العملات المشفرة بقيمة 112 مليون دولار

٢٢ فبراير ٢٠٢٥ في ١١:٣٥:٢٧ ص

2020 年，第一次调查发现是朝鲜黑客时，虽然不说很震惊，但确实服气他们的入侵手法：社会工程学开场，接着从一普通员工的电脑设备上硬挖出某安全软件的 0day 日穿内网，并控制了核心人员电脑，进而搞进生产网，偷走热钱包私钥。然后就是花式洗币，痕迹隐藏…最终还是被我们联合相关伙伴调查出了真相。… pic.twitter.com/ijKKkAyn1h
— Cos(余弦)😶‍🌫️ (@evilcos) February 22, 2025

ما الذي حدث في اختراق Bybit؟

في 21 فبراير 2025، اهتز عالم العملات المشفرة عندما خسرت Bybit، وهي بورصة رئيسية، 112 مليون دولار في عملية اختراق متطورة. لفت الحادث انتباه خبير الأمان Evilcos، الذي نشر تحليلاً متعمقًا على X على https://x.com/evilcos/status/1893203697485914164. وفقًا لـ Evilcos، لم يكن الهجوم مجرد صدفة - بل أظهر علامات على خطة مُحكمة التنفيذ، يُحتمل أن تكون مرتبطة بهكرز كوريين شماليين. دعنا نتعمق في ما حدث ولماذا هو مهم.

شرح مبسط للهجوم

يشير Evilcos إلى أن الاختراق لم يستغل عقود Safe نفسها - وهي المحافظ الآمنة متعددة التوقيعات التي استخدمتها Bybit. بدلاً من ذلك، عبث المهاجمون بالواجهة الأمامية (front-end)، الجزء الذي يتفاعل معه المستخدمون في النظام. تخيل الأمر وكأنه شاشة ATM مزيفة تخدعك لتقديم رقم التعريف الشخصي (PIN). سمح هذا الخداع للقراصنة بسحب الأموال، وترك العقود الذكية الأساسية سليمة ولكن المحافظ فارغة.

هذه ليست خدعة جديدة. يشير Evilcos إلى هجمات مماثلة في عام 2024، مثل اختراق WazirX بقيمة 230 مليون دولار وسرقة Radiant Capital بقيمة 50 مليون دولار، وكلاهما استهدف إعدادات Safe متعددة التوقيعات. النمط؟ التلاعب بالواجهة الأمامية (front-end) مقترنًا بتكتيكات هندسية ناضجة. يبدو الأمر وكأن هؤلاء الهاكرز لديهم دليل إرشادي - وهم يتحسنون فيه.

الارتباط بكوريا الشمالية

إحدى التفاصيل المثيرة التي يكشف عنها Evilcos هي الاحتمالية لوجود تورط لمجموعة Lazarus الكورية الشمالية، وهي مجموعة قرصنة سيئة السمعة. تشير منشورات على X من Evilcos وآخرين، مثل الباحث الأمني ZachXBT، إلى أن بصمات هذه المجموعة موجودة في كل مكان في اختراق Bybit. يشتهر هؤلاء الهاكرز بدمج الهندسة الاجتماعية (مثل رسائل البريد الإلكتروني التصيدية) مع الاستغلال التقني، مثل العثور على ثغرات zero-day - وهي عيوب غير معروفة مسبقًا في البرامج - لاقتحام الأنظمة. يلمح Evilcos إلى أن هذا قد يكون فصلاً آخر في تاريخهم الطويل في سرقة العملات المشفرة.

لماذا يستمر هذا في الحدوث

تستخدم بورصات العملات المشفرة مثل Bybit محافظ متعددة التوقيعات لمزيد من الأمان، مما يتطلب موافقات متعددة للمعاملات. ولكن كما يشرح Evilcos، حتى أفضل الأدوات يمكن أن تفشل إذا تم اختراق الطبقة البشرية أو طبقة الواجهة. لا يحتاج الهاكرز إلى كسر الخزنة إذا كان بإمكانهم خداع الحارس لفتحها. هذا الاتجاه في الهجوم على الواجهة الأمامية (front-end) هو دعوة للاستيقاظ للصناعة - فالكود الآمن ليس كافيًا إذا كان الجانب المواجه للمستخدم عرضة للخطر.

استجابة Bybit والدروس المستفادة

يشيد Evilcos بـ Bybit لتحركها السريع. لقد حددوا المشكلة بسرعة وعملوا مع فرق الأمان، بما في ذلك فريق SlowMist الخاص بـ Evilcos، للتحقيق. بحلول منتصف ليل PST في 21 فبراير، كانت المشكلة واضحة، وكانت إجراءات التخفيف جارية. إنه تذكير بأن السرعة والتعاون يمكن أن يحد من الضرر، حتى في حالة حدوث خرق كبير.

بالنسبة لمستخدم العملات المشفرة العادي، تؤكد هذه الملحمة على درس رئيسي: تحقق دائمًا من ما تتفاعل معه. يمكن أن يكون موقع الويب أو التطبيق الذي يبدو شرعيًا فخًا. بالنسبة للبورصات، يتعلق الأمر بتشديد تلك الطبقات غير التعاقدية - فكر في أمان أفضل للواجهة الأمامية (front-end) وخطوات التحقق من المستخدم.

ما التالي؟

إن اختراق Bybit ليس مجرد حادث منفرد - بل هو جزء من موجة أكبر من الهجمات التي تستهدف منصات العملات المشفرة. يحذر Evilcos من أن البورصات الأخرى التي تستخدم Safe أو أنظمة مماثلة متعددة التوقيعات قد تكون التالية إذا لم تدعم دفاعاتها. مع احتمال وجود هكرز كوريين شماليين في هذا المزيج، فإن المخاطر عالية. هل ستتكيف الصناعة، أم أننا على موعد مع المزيد من المكالمات لتصحيح الأخطاء بملايين الدولارات؟

ترقبوا أصواتًا مثل Evilcos على X للحصول على رؤى في الوقت الفعلي مع تطور هذه القصة. مساحة العملات المشفرة متوحشة، وفهم هذه الاختراقات هو المفتاح للتنقل فيها بأمان.