بزرگترین سرقت اتریوم در تمام دوران؛ هک صرافی بای بیت توسط هکرهای کره شمالی!

شب گذشته، درتاریخ ۲۱ فوریه (۳ اسفند)، یک هکر کنترل کیف پول سرد ETH را در صرافی بای بیت (Bybit) به دست گرفت و در این فرآیند بیش از۱.۴ میلیارد دلار از این وجوه را به سرقت برد.

خلاصه خبر

• آرکهام (Arkham) به نقل از ZackXBT گفت هکرهای کره شمالی، گروه لازاروس (Lazarus Group)، پشت این هک ۱.۵ میلیارد دلاری هستند.
• به نظر می‌رسد که این حمله به دلیل اتفاقی به نام «امضای کور (Blind Signing)» رخ داده است.
• مهاجمان ابتدا نزدیک به ۱.۵ میلیارد دلار وجوه از صرافی را به یک کیف پول اصلی برداشت زدند و سپس دارایی‌ها را در چندین کیف پول مختلف توزیع کردند.

هک بای بیت چگونه انجام شد؟

بن ژو (Ben Zhou)، بنیان‌گذار و مدیر عامل بای بیت، تایید کرد که انتقالی از کیف پول چند امضایی این صرافی به یک کیف پول گرم انجام شده است. وی گفت که این تراکنش خاص به گونه‌ای پنهان شده بود که قانونی به‌نظر برسد اما حاوی کد منبع مخربی بود که برای تغییر منطق قرارداد هوشمند کیف پول و برداشت وجوه طراحی شده بود. ژو به مشتریان خود اطمینان داد که سایر کیف پول‌های سرد امن هستند.

قیمت اتر (ETH) پس از تأیید این هک، تاکنون حدود ۸٪ کاهش یافته، زیرا این نقض امنیتی ​​یکی از بزرگترین موارد در تاریخ اخیر کریپتو بوده و موج شوک را در بازار ایجاد کرده است.

پلتفرم آرکهام برای هر کسی که بتواند مهاجمان هک روز جمعه را شناسایی کند، جایزه ۵۰٬۰۰۰ توکن ARKM ارائه کرد. سپس، این پلتفرم اعلام کرد که ZachXBT، کارآگاه آنچین، «شواهد قطعی» ارائه کرده است که مهاجمان، هکرهای کره شمالی بوده‌اند.

تام رابینسون (Tom Robinson)، یکی از بنیان‌گذاران و دانشمند ارشد Elliptic، این حادثه را «بزرگ‌ترین سرقت کریپتو تمام دوران، با اختلاف» نامید. بزرگترین سرقت بعدی، ۶۱۱ میلیون دلار سرقت شده از پلی نتورک (Poly Network) در سال ۲۰۲۱ بود.

نانسن (Nansen)، ارائه‌دهنده داده‌های بلاکچین به کوین دسک اعلام کرد که در ابتدا، وجوه دزدیده شده به یک کیف پول اصلی منتقل شد و سپس آنها را در بیش از ۴۰ کیف پول توزیع کرد. به گفته نانسن، مهاجمان قبل از انتقال سیستماتیک ETH به بیش از ۱۰ کیف پول دیگر، تمام دارایی‌های stETH، cmETH و meTH را به ETH تبدیل کردند.
به نظر می‌رسد این حمله به دلیل «امضای کور» بوده است که در آن تراکنش قرارداد هوشمند بدون اطلاع کامل از محتوای آن تایید می‌شود.

این روش حمله به سرعت در حال تبدیل شدن به شکل مورد علاقه حمله سایبری است که توسط هکرهای پیشرفته از جمله کره شمالی استفاده می‌شود. مشابه این حمله در مورد Radiant Capital و حادثه WazirX نیز استفاده شد.

مشکل این است که حتی با بهترین راه حل‌های مدیریت کلید، امروزه بیشتر فرآیند امضا به رابط‌های نرم‌افزاری که با dApps تعامل دارند، واگذار می‌شود. این یک آسیب پذیری مهم ایجاد کرده و در را برای دستکاری مخرب فرآیند امضا باز می‌کند، که دقیقاً همان چیزی است که در این حمله اتفاق افتاد.