کره‌شمالی چگونه بزرگ‌ترین سرقت تاریخ را رقم زد؟

زی‌سان: اندکی پس از ساعت ۲ بعدازظهر جمعه گذشته، یک گروه هکری بدنام‌– که مسئول برخی از بدترین جرایم سایبری قرن بیست‌و‌یکم‌اند– دست به عملیاتی زدند که ممکن است شاهکار آنها محسوب شود.

در عرض فقط چند دقیقه، حدود ۱.۴۶ میلیارد دلار (۱.۱۶ میلیارد پوند) ارز دیجیتال از بای‌بیت (Bybit)، یکی از محبوب‌ترین صرافی‌های رمزارز در جهان، سرقت و از طریق اینترنت به کیف‌پول‌های ناشناس منتقل شد. این رویداد بزرگ‌ترین سرقت تاریخ را رقم زد.

برای مقایسه، رقم سرقت‌شده نزدیک به ۳۰ برابر ۵۳ میلیون پوندی است که در جریان سرقت از انبار سکوریتاس در تونبریج در سال ۲۰۰۶ دزدیده شد، و بزرگ‌ترین سرقت نقدی تاریخ بریتانیا است. این رقم همچنین حدود ۵۰۰ میلیون دلار بیشتر از مبلغی بود که صدام حسین در آستانه جنگ عراق در سال ۲۰۰۳ از بانک مرکزی عراق سرقت کرد، که معمولا به‌عنوان بزرگ‌ترین سرقت تاریخ شناخته می‌شود.

جزئیات این عملیات همچنان در حال آشکار شدن است، اما آنچه رخنه به صرافی‌های رمزارز را منحصر‌به‌فرد می‌کند این است که از طریق بلاک‌چین (زنجیره‌بلوک) می‌توان وجوه را هم‌زمان و لحظه‌ای ردیابی کرد. فناوری بلاکچین به‌منزله یک دفترکل آنلاین عمل می‌کند و شفافیت هر تراکنش و جابه‌جایی وجوه بین آدرس‌های کیف‌پول را فراهم می‌کند، حتی اگر هویت مالک هر کیف‌پول مشخص نباشد.

این ویژگی به ماموران تحقیق امکان داده است که دارایی‌های سرقت‌شده را به‌صورت لحظه‌ای ردیابی کنند، در حالی که هکر‌ها در تلاش‌اند این وجوه را از طریق کیف‌پول‌ها و صرافی‌های گوناگون پول‌شویی کنند. این الگو شباهت زیادی به شیوه‌ای دارد که یکی از پیچیده‌ترین عملیات‌های هک جهان از آن استفاده می‌کند: گروه لازاروس.

این گروه که ادعا می‌شود از زمان تاسیسش در سال ۲۰۰۹ تحت حمایت کره شمالی بوده است، پیش‌تر از طریق حملات باج‌افزار واناکرای (WannaCry) در سال ۲۰۱۷ که ۲۰۰ هزار رایانه را در ۱۵۰ کشور آلوده کرد، از جمله رایانه‌های خدمات ملی سلامت بریتانیا (NHS)، باعث ایجاد هرج‌ومرج جهانی شده بود.

گروه لازاروس در گذشته نیز حملات رمزارزی متعددی انجام داده است، اما سرقت روز جمعه بزرگ‌ترین حمله آنها تاکنون محسوب می‌شود، که هکر‌ها مبلغی معادل کل بودجه دفاعی سالانه کره شمالی (۱.۴۷ میلیارد دلار در سال ۲۰۲۳) را به سرقت بردند.

شرکت تحقیقی رمزارز چین‌السیس (Chainalysis) متذکر شد که هک بای‌بیت بر اساس شیوه رایج مورد استفاده گروه لازاروس انجام شده است، که یک حمله مهندسی اجتماعی برای نقض امنیت اولیه وجوه را شامل می‌شود. این حمله هنگام انتقال روزمره و طبق روال وجوه از کیف‌پول سرد اتریوم بای‌بیت‌– یک دستگاه ذخیره‌سازی آفلاین رمزارز‌– به کیف‌پول گرم آنلاین این صرافی رخ داد.

هکر‌ها با هدف قرار دادن افرادی که مسئول تایید آدرس‌های کیف‌پول بودند، از حملات فیشینگ (تله‌گذاری) شخصی‌سازی‌شده استفاده کردند و آنها را فریب دادند تا تراکنش‌های انتقال به کیف‌پول‌هایی که در اختیار گروه لازاروس بود را تایید کنند.

شاحر مادار، معاون امنیت و اعتماد در پلتفرم بلاک‌چین فایربلاکس (Fireblocks)، به روزنامه ایندیپندنت گفت: «یک سیستم امنیتی فقط به اندازه ضعیف‌ترین حلقه‌اش قوی است. در مورد بای‌بیت، نقص امنیتی زمانی رخ داد که از لجر (Ledger) [کیف‌پول سخت‌افزاری]و سیف{والت} (Safe{Wallet}) [اپلیکیشن کیف‌پول دیجیتال]هم‌زمان استفاده شد.»

«احتمالا هکر‌ها از بدافزار برای تغییر مخفیانه آنچه کاربران در فضای کاربری سیف{والت} می‌دیدند استفاده کردند. کاربران فکر می‌کردند که در حال تایید تراکنشی عادی‌اند، در حالی که در واقع، تراکنشی متفاوت و دستکاری‌شده را تایید می‌کردند. لجر از کاربران می‌خواست که تراکنش‌ها را بدون نمایش جزئیات کامل تایید کنند (که به‌عنوان «امضای کور» شناخته می‌شود). این بدان معنا بود که کاربران نمی‌توانستند ببینند واقعا چه چیزی را تایید می‌کنند، و این امر فریب دادن آنها را برای هکر‌ها آسان می‌کرد.»

طی دو ساعت پس از سرقت از بای‌بیت، محققان شرکت تجزیه‌و‌تحلیل بلاک‌چین الیپتیک (Elliptic) مشاهده کردند که وجوه سرقت‌شده به ۵۰ کیف‌پول مختلف ارسال شده است، که هر کدام حاوی تقریبا ۱۰ هزار اتریوم (ETH) بودند.

این کیف‌پول‌ها سپس در فرایند پول‌شویی که به «لایه‌بندی» معروف است و تلاش می‌کند رد تراکنش را پنهان کند، به شکلی سازمان‌یافته از طریق صرافی‌های غیرمتمرکز تخلیه شدند.

شرکت الیپتیک در پستی وبلاگی متذکر شد: «گروه لازاروس کره شمالی پیچیده‌ترین و مجهزترین پول‌شوی موجود در جهان برای دارایی‌های رمزارزی است، و شیوه هایش برای فرار از شناسایی و توقیف دارایی‌های سرقت‌شده را مدام تغییر می‌دهد. شفافیت بلاک‌چین‌ها به این معنا است که می‌توان رد این تراکنش را دنبال کرد، اما این تاکتیک‌های لایه‌بندی می‌توانند فرایند ردیابی را پیچیده کنند، و برای پولشو‌ها زمان ارزشمندی بخرند تا دارایی‌ها را نقد کنند.»

الیپتیک که با بای‌بیت همکاری می‌کند، مدعی است که بخشی از وجوه سرقت‌شده از این صرافی مستقر در دبی را به دست آورده است، اما می‌گوید بزرگ‌ترین چالش حجم عظیم دارایی‌های سرقت‌شده است.

آرکم (Arkham)، پلتفرم اطلاعاتی رمزارز، اشاره کرد هکر‌های بای‌بیت به‌مدت ۴۵ دقیقه، هر دقیقه چندین تراکنش انجام می‌دادند و سپس، وقفه‌ای ۱۵ دقیقه‌ای داشتند. این الگو ظاهرا نشان می‌دهد که این فرایند خودکار نبوده است، زیرا هرکس که این تراکنش‌ها را انجام می‌د‌هد، به وقفه‌های استراحت متناوب نیاز دارد.

این شرکت در پستی در ایکس (توییتر سابق) پرسید: «آیا لازاروس برای شستن [پول‌شویی]دستی وجوهش کارورز گرفته بود؟»

این سرقت عظیم باعث سقوط بازار‌های رمزارز شد، اما در عین حال ناخواسته تاب‌آوری این صنعت را به نمایش گذاشت. تنها ۷۲ ساعت پس از حمله، بای‌بیت ذخایر خود را با نسبت ۱:۱ بازیابی و ترمیم کرد، به این معنا که وجوه هیچ‌یک از مشتریان از بین نرفت.

این صرافی در بیانیه‌ای اعلام کرد: «در تمام این مدت، جامعه رمزارز، شرکای ما و کاربرانمان حمایت تزلزل‌ناپذیری نشان داده‌اند. ما می‌دانیم که وجوه ما به کجا رفته است، و متعهدیم که این تجربه را به فرصتی برای تقویت این اکوسیستم تبدیل کنیم... امروز نقطه آغاز یک هفته جدید و فصلی تازه است.»

ابعاد این حمله می‌تواند در نهایت تلاش‌های گسترده‌تر برای نابودی گروه لازاروس را تقویت کند.

بن ژو، مدیرعامل بای‌بیت‌– که دومین صرافی بزرگ رمزارز در جهان از نظر حجم معاملات است‌– در واکنش به این هک، خواستار «جنگ با لازاروس» شد و اعلام کرد که مبلغ ۱۴۰ میلیون دلار جایزه برای هرکسی که بتواند وجوه سرقت‌شده را بازیابی کند و اطلاعاتی درباره این گروه ارائه دهد، در نظر گرفته شده است.

این اقدام، که برای اولین بار در صنعت رمزارز صورت می‌گیرد، می‌تواند آغازگر یک اقدام جهانی هماهنگ باشد تا در نهایت کارزار‌های سایبر‌ی‌ـ‌تروریستی گروه لازاروس خنثی شود.

ژو گفت: «ما در لحظه‌ای تاریک از تاریخ رمزارز سهیم بوده‌ایم، و ثابت کرده‌ایم که از بازیگران مخرب قوی‌تریم. ما تا زمانی که لازاروس یا سایر بازیگران مخرب در این صنعت حذف نشوند، دست از کار نخواهیم کشید.»