عملية السطو على بيبيت: كيف سرقت كوريا الشمالية ١.٥ مليار في ٤٧ دقيقة

فبراير 21, 2025. 12:30 مساءً بالتوقيت العالمي المنسق.

داخل مركز عمليات Bybit — وهي بورصة عملات مشفرة يقع مقرها الرئيسي في Dubai، وتتعامل مع عشرات المليارات من الدولارات في حجم التداول اليومي — يبدأ تحويل مجدول.

أربعمئة وواحد ألف وثلاثمئة وسبعة وأربعون من رموز Ethereum. حوالي مليار ونصف المليار دولار في تلك اللحظة. التحويل روتيني: من محفظة Bybit الباردة متعددة التوقيعات، والمحتفظ بها دون اتصال بالإنترنت للأمان، إلى محفظة ساخنة تُستخدم للسيولة التشغيلية.

يُطلب من ثلاثة موظفين كبار في Bybit تفويض المعاملة. يفتحون واجهة Safe{Wallet} على محطات عملهم. يراجعون عنوان الوجهة. يراجعون تفاصيل المعاملة. كل شيء يتطابق مع العملية المتوقعة.

يوقعون.

بعد دقيقة واحدة، اختفى أربعمئة وواحد ألف من رموز Ethereum.

لم تُحوَّل إلى المحفظة الساخنة. بل حُوِّلت إلى عنوان تسيطر عليه North Korea.

لم تُسرق أي كلمات مرور. لم تُستخرج أي مفاتيح خاصة. لم تُصطد أي بيانات اعتماد. لم تُخترق البنية التحتية الخاصة بـ Bybit. قام الموقّعون الثلاثة بما وجهتهم إليه إجراءاتهم بالضبط. ما رأوه على شاشاتهم، وافقوا عليه.

ما رأوه على شاشاتهم كان كذبة.

هذا هو أكبر سرقة عملات مشفرة فردية مسجلة على الإطلاق. وهي، حسب تصنيف Guinness World Records، أكبر عملية سرقة بنك في التاريخ — تتجاوز حتى المليار دولار التي استخرجها Saddam Hussein من البنك المركزي العراقي في عام 2003.

تم تنفيذها عن طريق تغيير ملف واحد على موقع ويب.

الهجوم لم يستهدف Bybit مباشرة.

لم تُخترق البنية التحتية لـ Bybit مطلقًا — الخوادم، ومحطات عمل الموظفين، وأجهزة التوقيع، والشبكات الداخلية. وأكد كل تحقيق جنائي لاحق، أجرته الشركات المستقلة Sygnia و Verichains، نفس النتيجة. لم تُخترق Bybit.

الشركة التي تم اختراقها كانت Safe — المعروفة سابقًا باسم Gnosis Safe — وهي منصة المحفظة متعددة التوقيعات الأكثر استخدامًا في نظام Ethereum البيئي. تحتفظ Safe بواجهة الويب على app.safe.global والتي من خلالها يدير معظم حاملي Ethereum من المؤسسات تفويض المعاملات الكبيرة متعدد الأطراف.

يبلغ عدد فريق الهندسة في Safe حوالي ثلاثين شخصًا. ومن بينهم، مجموعة صغيرة من مديري الأنظمة لديهم صلاحيات لتعديل الشيفرة المصدرية للإنتاج الحي وواجهة الويب المنشورة.

قبل حوالي ثلاثين يومًا من 21 فبراير، تم استهداف أحد مديري الأنظمة هؤلاء.

يتوافق الناقل مع أسلوب عمل الوحدة North Korean التي تتعقبها داخليًا Federal Bureau of Investigation باسم TraderTraitor. الوحدة هي مكون فرعي من Lazarus Group الأوسع، وتعمل من المكتب الثالث لهيئة الاستطلاع العامة في North Korea.

لم تُكشف التقنية المحددة علنًا من قبل Safe أو المحققين. على الأرجح: أسلوب هندسة اجتماعية عالي الاستهداف، يمر عبر جهة اتصال على LinkedIn، أو منتدى للمطورين، أو ذريعة تعاون تقني. يقوم المسؤول بتنزيل ما يبدو أنه قطعة أثرية تقنية مشروعة. تحتوي القطعة الأثرية على برمجيات خبيثة.

تسرق البرمجيات الخبيثة AWS session tokens. ليست بيانات اعتماد طويلة الأمد — بل رموز المصادقة المؤقتة التي يستخدمها مطورو Safe أثناء يوم عملهم العادي للوصول إلى Amazon Web Services، حيث تستضاف واجهة الويب لـ Safe.

باستخدام تلك الرموز، يصل المهاجمون إلى حساب Safe على AWS.

لم يستخرجوا بيانات. لم ينشروا برمجيات فدية. لم يحاولوا التحرك الجانبي عبر البنية التحتية.

قاموا بتعديل ملف JavaScript واحد.

الملف الذي تم تقديمه من Safe's Amazon S3 storage bucket هو JavaScript الواجهة الأمامية الذي يعرض واجهة الموافقة على المعاملات في متصفحات الموقّعين في Bybit.

يحتوي الإصدار المعدل على ما وصفه المحققون الجنائيون لاحقًا بأنه منطق خبيث مشروط.

بالنسبة للغالبية العظمى من مستخدمي Safe — المستخدمين العاديين، والبورصات الأخرى، ومشاريع التمويل اللامركزي — يتصرف JavaScript المعدل تمامًا مثل الإصدار الشرعي. يتم عرض الواجهة بشكل طبيعي. وتتم المعاملات كما هو متوقع. لا شيء يبدو خاطئًا.

يتم تنفيذ التعليمات البرمجية الخبيثة فقط عندما يتم استيفاء شروط محددة.

تم تصميم تلك الشروط بدقة لـ Bybit.

يتحقق الكود مما يلي: هل هذه الجلسة مصادقة مقابل أحد ثلاثة عناوين محفظة محددة؟ هل المعاملة المقترحة هي تحويل من محفظة Ethereum الباردة الخاصة بـ Bybit؟ إذا كان كلا الشرطين صحيحين — فتابع.

إذا كان كلا الشرطين صحيحين، يعترض JavaScript الخبيث بيانات المعاملة قبل عرضها للموقّعين مباشرة. ويستبدل منطق المعاملة. ما يراه الموقّعون على شاشاتهم — عنوان الوجهة، المبلغ، نوع العملية — يظل متطابقًا بصريًا مع التحويل الشرعي المقصود.

ما يوقعونه بالفعل هو `delegatecall` لعقد تتحكم فيه North Korea.

في Ethereum، `delegatecall` هو عنصر أساسي يسمح لعقد ذكي بتنفيذ رمز في سياق عقد آخر — مع وصول كامل إلى تخزين وموارد العقد المستدعي. عندما يوافق الموقّع على معاملة تتضمن `delegatecall`، فإنه لا يقوم بمجرد تحويل الأموال. بل يمنح العقد المستدعى سيطرة كاملة على المحفظة المستدعية.

بالموافقة على ما يعتقدون أنه تحويل روتيني، يمنح الموقّعون الثلاثة في Bybit عقدًا تسيطر عليه North Korea ملكية كاملة لمحفظتهم الباردة.

ثم يقوم المهاجم بإفراغها.

أربعمئة وواحد ألف وثلاثمئة وسبعة وأربعون من رموز Ethereum. مليار ونصف المليار دولار.

كان جميع الموقّعين الثلاثة قد فعّلوا المصادقة متعددة العوامل على حساباتهم. وكان لدى جميعهم مفاتيح أمان أجهزة نشطة. لم يهم أي من ذلك. لقد حدث الخداع في الطبقة التي تعلو المصادقة — في الطبقة التي تفسر فيها عينا الموقّع ما يُطلب منه الموافقة عليه.

بعد دقيقتين من وصول المعاملة إلى Ethereum mainnet، تم حذف JavaScript الخبيث من موقع Safe.

تم استبدال الملف المعدل بالإصدار الشرعي. ويتلقى أي زائر لاحق لـ app.safe.global رمزًا نظيفًا. اختفت الأدلة من البيئة الحية.

لكن البنية التحتية لـ Safe ليست المكان الوحيد الذي تم تقديم الملف منه. فقد التقطت أرشيفات Wayback Machine — الأرشيف العام للويب الذي تحتفظ به Internet Archive — الإصدار الخبيث خلال فترة نشره النشطة. وعندما أعاد المحققون بناء الهجوم، أصبح الملف المؤرشف دليلًا جنائيًا مركزيًا. لم يتوقع المهاجمون أن الأرشيف العام للويب كان يصنع بهدوء نسخًا من استغلالهم.

أنظمة الكشف في Bybit تبلغ عن الشذوذ في غضون دقائق. يؤكد الرئيس التنفيذي Ben Zhou السرقة علنًا في غضون ساعات. وتبدأ شركات تحليل البلوك تشين في تتبع Ethereum المسروق في الوقت الفعلي.

بدأت عملية غسيل الأموال بالفعل.

منهجية غسيل العملات المشفرة لـ North Korea ناضجة.

في غضون الثماني والأربعين ساعة الأولى بعد السرقة، يقدر محللو البلوك تشين أن حوالي مئة وستين مليون دولار من Ethereum تم غسلها بنجاح عبر البورصات اللامركزية والجسور عبر السلاسل. يتم تحويل الأصول، وتجزئتها، وخلطها عبر بروتوكولات الخصوصية، وإعادة تكوينها عبر آلاف عناوين البلوك تشين.

الهدف المفضل للتحويل هو Bitcoin.

يستخدم نموذج معاملات Bitcoin مخرجات المعاملات غير المنفقة (Unspent Transaction Outputs) — وهو هيكل يعامل كل معاملة كوحدة منفصلة، مماثل للنقود المادية. يتطلب تتبع قيمة دولارية محددة عبر Bitcoin تتبع UTXOs الفردية عبر العديد من العناوين، وهي مهمة جنائية أكثر تعقيدًا بشكل كبير من تتبع حساب Ethereum.

وحدة غسيل الأموال التابعة لـ North Korea، والتي صنفتها FBI باسم TraderTraitor، تحول معظم Ethereum المسروق إلى Bitcoin خلال الأسبوع الأول.

تصدر FBI إعلان خدمة عامة في 26 فبراير 2025 — بعد خمسة أيام من الهجوم — وتنسب السرقة رسميًا إلى North Korea. وتنشر الوكالة واحدًا وخمسين عنوانًا لـ Ethereum تم تحديدها كجزء من البنية التحتية لغسيل الأموال. وتدعو البورصات، ومنصات التمويل اللامركزي، وشركات استخبارات البلوك تشين إلى حظر المعاملات المستمدة من تلك العناوين.

كان الإسناد سريعًا بمعايير تحقيقات الهجمات السيبرانية للدول القومية. وقد تم تمكينه عن طريق مطابقة الأنماط.

تتداخل العناوين المستخدمة لتحريك الأموال المسروقة من Bybit، في نقاط محددة، مع العناوين المستخدمة في سرقات عملات مشفرة سابقة — سرقة Phemex عام 2024، وسرقة BingX عام 2024، وسرقة Poloniex عام 2023. وقد أثبتت شركات استخبارات البلوك تشين Elliptic و TRM Labs، جنبًا إلى جنب مع المحقق المستقل ZachXBT، هذا التداخل في غضون أيام.

يدير نفس المشغلين نفس البنية التحتية لغسيل الأموال عبر عمليات السرقة المتكررة. البنية التحتية هي التوقيع.

سياق الحجم.

وفقًا لعدة شركات استخبارات البلوك تشين، سرقت Lazarus Group ومكوناتها الفرعية، على مدى عدة سنوات، ما يقدر بثلاثة فاصل أربعة إلى أكثر من ستة مليارات دولار من العملات المشفرة. وفي عام 2024 وحده، بلغت السرقات المرتبطة بـ North Korea أكثر من ملياري دولار.

مليار ونصف المليار دولار من Bybit، التي سُرقت في عملية واحدة، تتجاوز أكبر سرقة فردية تالية — سرقة ثلاثمئة وثمانية ملايين دولار عام 2024 من بورصة DMM Bitcoin في Japan — بخمسة أضعاف.

تتدفق الأموال، عبر شبكات غسيل الأموال، إلى حسابات تسيطر عليها حكومة Democratic People's Republic of Korea. وقد أثبتت تسميات Treasury Department مرارًا أن هذه الحسابات تمول برامج أسلحة North Korea، بما في ذلك تطوير الصواريخ الباليستية وبرنامجها النووي.

Bybit، من جانبها، تنجو. الشركة قادرة على الوفاء بالتزاماتها. في غضون ساعات من السرقة، يقوم الرئيس التنفيذي Ben Zhou بترتيب قروض مؤقتة وتدفقات استراتيجية من حاملي المؤسسات الآخرين لتجديد الاحتياطيات. تظل أموال العملاء محمية. لم يفقد أي مستخدم أصولًا مودعة.

تطلق البورصة برنامج مكافآت استرداد، وتقدم ما يصل إلى عشرة بالمئة من أي أموال يتم استردادها لأولئك الذين يساعدون في تتبعها أو مصادرتها.

الغالبية العظمى من Ethereum المسروق لم يتم استردادها.

العناصر غير المحسومة في ملف القضية هذا هيكلية.

لم تفعل Bybit أي خطأ وفقًا لمعايير أفضل ممارسات حفظ العملات المشفرة. لقد استخدمت التخزين البارد لاحتياطياتها. استخدمت تفويضًا متعدد التوقيعات للتحويلات. استخدمت مزود واجهة طرف ثالث ذو سمعة طيبة. استخدمت مفاتيح أمان أجهزة لموقّعيها. كل إجراء دفاعي توصي به الصناعة، قامت Bybit بتطبيقه.

تجاوز الهجوم كل ذلك عن طريق اختراق طبقة خارجة عن سيطرة Bybit.

Safe، مزود الواجهة، يخدم آلاف العملاء المؤسسيين. كان من الممكن أن يكون أي من هؤلاء العملاء هدفًا. تم اختيار Bybit لأن المهاجمين، من خلال استطلاعهم الأولي، حددوا عناوين محفظتها الباردة وأنماط معاملاتها مسبقًا. وتم تصميم JavaScript الشرطي حول نقاط البيانات المحددة هذه.

الضعف المعماري الأساسي عام، وليس محددًا.

أي واجهة ويب تُستخدم لتوقيع معاملات العملات المشفرة هي، بحكم تعريفها، نقطة محتملة للتلاعب بالعرض. إذا أمكن تعديل الواجهة بدقة — من خلال اختراق بنيتها التحتية للاستضافة، أو شبكة تسليم المحتوى الخاصة بها، أو مستودع شيفرتها المصدرية، أو خط أنابيب النشر الخاص بها — فلن يتمكن الموقّع، في معظم التطبيقات، من التحقق بشكل مستقل مما يوقعه بالفعل.

المحافظ المادية ذات شاشة عرض المعاملات المستقلة هي تخفيف جزئي. لكن العديد من المحافظ المادية لا تفك تشفير هياكل المعاملات المعقدة مثل `delegatecall` في شكل يمكن للبشر قراءته. إنها تظهر تجزئة خام. لا يمكن للمستخدم الذي يحدق في سلسلة سداسية عشرية مكونة من أربعة وستين حرفًا التحقق من معناها عن طريق الفحص.

يجب على المستخدم أن يثق بالواجهة.

أظهرت North Korea، في 21 فبراير 2025، تكلفة تلك الثقة.

Fragment Zero ستتابع ملف القضية.

تستمر الأموال المسروقة في التجزؤ عبر البلوك تشين العالمي. تظل أجزاء ثابتة في عناوين تم وسمها وفرض عقوبات عليها. وتستمر أجزاء في التحرك. نمت العناوين الـ 51 التي حددتها FBI إلى عدة مئات، عبر سلاسل متعددة.

لم يتم الكشف علنًا عن اسم المطور في Safe الذي تعرض جهازه للاختراق. ولم يتم تفصيل ناقل الهندسة الاجتماعية المحدد المستخدم للوصول إليه علنًا.

تستمر Lazarus Group في العمل. في الأشهر التي تلت سرقة Bybit، نُسبت سرقات أصغر ولكنها لا تزال كبيرة — تُقاس بعشرات الملايين من الدولارات — إلى نفس البنية التحتية.

السؤال الأعمق ليس ما إذا كان يمكن سرقة العملات المشفرة.

السؤال الأعمق هو مدى اعتماد البنية التحتية المالية الآن على عدد صغير من مشاريع الواجهات مفتوحة المصدر — التي تديرها فرق صغيرة، ويتم تحديثها عبر خطوط أنابيب النشر المباشرة، ويتم استهلاكها عبر متصفحات الويب — والتي تقف بين مليارات الدولارات من الأصول والبشر الذين يفوضونها.

في هذه الحالة، كان عدد الأشخاص الذين كان بإمكانهم منع أكبر سرقة في التاريخ واحدًا. وقد نقر على شيء ما.