وصول البجعة السوداء: تتبع تفصيلي لسرقة ما يقرب من 1.5 مليار دولار من ETH من Bybit

المؤلف: Spirit

نظرة عامة على الحدث

في 21 فبراير 2025، كشفت بورصة العملات المشفرة Bybit أن محفظتها الباردة متعددة التوقيعات Ethereum كانت عرضة لنشاط غير مصرح به، مما أدى إلى سرقة ما يقرب من 1.5 مليار دولار من أصول ETH وstETH. تشير التحليلات الأولية إلى أن المتسللين استخدموا هجومًا مخططًا بعناية، باستخدام وسائل تقنية معقدة مثل إخفاء واجهة التداول واستبدال العقود الذكية للسيطرة بنجاح على محفظة ETH الباردة الخاصة بـ Bybit وتحويل الأموال. بعد الحادث، أصدرت شركة Bybit بيانًا سريعًا، وبدأت تحقيقًا، وسعت إلى الحصول على دعم مالي خارجي للتعامل مع موجة انسحاب المستخدمين. كانت هذه الحادثة أكبر عملية سرقة في تاريخ العملات المشفرة، مما أثار اضطرابات في السوق وأثار المخاوف بشأن أمن البورصات المركزية.

الجدول الزمني للحدث (HKT, UTC+8)

يعتمد الجدول الزمني التالي على المعلومات العامة ويعتمد على توقيت هونج كونج (HKT, UTC+8):

19 فبراير 2025 15:15 بتوقيت هونج كونج (UTC 07:15):تم نشر العقد الخبيث (عنوان العقد: `0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`). وأظهر التحليل الذي أجراه فريق SlowMist أن العقد الخبيث كان بمثابة خطوة ما قبل النشر في هذا الهجوم. 21 فبراير 2025 14:13 بتوقيت هونج كونج (UTC 06:13): استخدم المخترق ثلاثة توقيعات للمالك لبدء معاملة (تجزئة المعاملة: `0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882`) لاستبدال عقد التنفيذ الآمن لمحفظة Bybit الباردة متعددة التوقيع بالعقد الخبيث المذكور أعلاه. ويُعتقد أن هذه خطوة رئيسية في الهجوم، مما مهد الطريق لسرقة الأموال لاحقًا. حوالي الساعة 23:30 بتوقيت هونج كونج يوم 21 فبراير 2025: حدث تحويل غير طبيعي للأموال في محفظة Bybit Ethereum الباردة، وتم سرقة ما يقرب من 1.5 مليار دولار أمريكي في ETH وstETH. كان مستخدم X (تويتر سابقًا) @OrdzWorld هو أول من اكتشف عمليات نقل غير طبيعية من محفظة Bybit الباردة إلى محفظتها الدافئة. 21 فبراير 2025 23:48 بتوقيت هونج كونج: نشر الرئيس التنفيذي لشركة Bybit، بن تشو، على وسائل التواصل الاجتماعي، معترفًا بحدوث تحويل غير مصرح به لمحفظة ETH الباردة، وحكم في البداية على أنه "هجوم انتحال واجهة المستخدم المحظورة"، وأكد أن المحافظ الباردة الأخرى آمنة وأن عمليات السحب طبيعية. 21 فبراير 2025 23:51 بتوقيت هونج كونج: أصدر الحساب الرسمي لشركة Bybit @Bybit\_Official بيانًا رسميًا على منصة X، مؤكدًا أنه تم اكتشاف أنشطة غير مصرح بها لمحفظة ETH الباردة متعددة التوقيع، وذكر أن المهاجم تلاعب بالمعاملة من خلال هجوم معقد أخفى واجهة التوقيع. وذكرت شركة بايبت أنها أطلقت تحقيقًا وأكدت أن أموال المستخدمين آمنة. 22 فبراير 2025 00:11 بتوقيت هونج كونج: كتب الرئيس التنفيذي لشركة Bybit، بن تشو، مرة أخرى، مؤكدًا أن Bybit تتمتع بالملاءة المالية وأن أصول المستخدمين مضمونة بنسبة 1:1. 22 فبراير 2025 01:00 بتوقيت هونج كونج: كشف فريق SlowMist @SlowMist\_Team عن مزيد من التفاصيل الفنية حول منصة X، مشيرًا إلى أن العقد الخبيث تم نشره في وقت مبكر من 19 فبراير، واستخدم المهاجم وظائف الباب الخلفي `sweepETH` و`sweepERC20` ومنطق `DELEGATECALL` لتنفيذ السرقة. 22 فبراير 2025 01:07 بتوقيت هونج كونج: أبلغ مستخدم X @web3golder أن Bybit تواجه موجة من عمليات سحب المستخدمين، وقد تم استبدال بعض الأصول المسروقة مقابل ETH على البورصات اللامركزية (DEX)، مما أدى إلى تفاقم مخاوف السوق. 22 فبراير 2025 01:24 بتوقيت هونج كونج: نشر مؤسس BitMart شيلدون على منصة X أن BitMart جمدت العناوين ذات الصلة وستساعد Bybit في استرداد الأصول. 22 فبراير 2025 01:39 بتوقيت هونج كونج: أشار فريق الأمن الذي قام Beosin بتحليله إلى أن أموال رسوم المعاملات لعنوان الهجوم الأولي للمخترق جاءت من بورصة Binance. 22 فبراير 2025 05:23 بتوقيت هونج كونج: نشر المحقق المتسلسل ZachXBT (@ZachXBT) على منصة X تقريرًا بالأدلة، مؤكدًا بشكل أولي أن الهجوم تم التخطيط له من قبل منظمة القراصنة الكورية الشمالية Lazarus Group. أرسلت Arkham Intelligence المعلومات. 22 فبراير 2025 07:27 بتوقيت هونج كونج: أصدرت منصة X الرسمية لشركة Bybit بيانًا قالت فيه إنها أبلغت السلطات المعنية بالقضية وتعمل مع مقدمي التحليل على السلسلة لتحديد وعزل العناوين المعنية ومنع المتسللين من بيع ETH. 22 فبراير 2025 09:09 بتوقيت هونج كونج: رصد محلل البيانات على السلسلة Ember (@EmberCN) أن Bitget دعمت قرضًا بقيمة 40 ألف ETH من Bybit لتخفيف ضغط عمليات السحب. 22 فبراير 2025 09:14 بتوقيت هونج كونج: نشر الرئيس التنفيذي لشركة Bitget، جراسي تشين، رسالة على منصة X لدعم Bybit، قائلاً إنه يعتقد أن أموال عملاء Bybit آمنة ولا داعي للذعر. 22 فبراير 2025 09:21 بتوقيت هونج كونج: أصدرت وكالة تدقيق Web3 Hacken تحديثًا لدليل الاحتياطي، مشيرة إلى أن احتياطيات Bybit لا تزال تتجاوز الالتزامات وأن أموال المستخدمين مدعومة بالكامل. ورد الرئيس التنفيذي لشركة بايبيت، بن تشو، بأن التدقيق الذي أجراه هاكين أثبت أن بايبيت لديها القدرة على تعويض العملاء عن الخسائر. 22 فبراير 2025 09:28 بتوقيت هونج كونج: أعرب الرئيس التنفيذي لشركة KuCoin، BC Wong، عن دعمه لشركة Bybit وقال إن KuCoin ساعدت في مراقبة تدفق الأموال وتجميد الأصول المشبوهة. 22 فبراير 2025 09:30 بتوقيت هونج كونج: رد مؤسس Binance Changpeng Zhao (CZ) على وسائل التواصل الاجتماعي بأن مسؤولي Binance لم يقترضوا أموالاً من Bybit بعد، وأن تحويل الأموال ذي الصلة قد يكون سلوكًا شخصيًا للحوت. 22 فبراير 2025 09:35 بتوقيت هونج كونج: أصدر بروتوكول المحفظة متعددة التوقيعات Safe بيانًا رسميًا يفيد بأنه لم يتم العثور على أي تسريبات لقاعدة التعليمات البرمجية وتم تعليق وظيفة Safe لإجراء فحص شامل. 22 فبراير 2025 09:38 بتوقيت هونج كونج: تُظهر المراقبة على السلسلة أن محفظة MEXC الساخنة نقلت 12600 stETH إلى محفظة Bybit الباردة، مما يوفر دعمًا إضافيًا للسيولة.

22 فبراير 2025 09:55 بتوقيت هونج كونج:صرح الرئيس التنفيذي لشركة Bybit، بن تشو، أن Bybit تقوم بنقل 2.95 مليار USDT من المحافظ الباردة إلى المحافظ الساخنة. هذه استراتيجية مخططة وليست بسبب تعرضها للاختراق مرة أخرى.

الدعم من جميع الأطراف والاستجابة للسيولة

اتخذت Bybit إجراءات سريعة بعد الحادث وسعت إلى الحصول على الدعم من أطراف متعددة للتعامل مع أزمة السيولة المحتملة وأزمة ثقة المستخدمين:

• قرض Bitget ETH: أقرضت Bitget بشكل عاجل 40000 ETH (حوالي 105.9 مليون دولار أمريكي) إلى Bybit، والتي تم تحويلها مباشرة إلى عنوان محفظة Bybit الباردة لتخفيف الضغط على المستخدمين لسحب الأموال. يعكس هذا القرض روح المساعدة المتبادلة بين البورصات في نفس الصناعة. قرض جسر: كشف الرئيس التنفيذي لشركة Bybit، بن تشو، أنه توصل إلى اتفاق قرض جسر مع شركائه، حيث بلغ المبلغ حوالي 80٪ من قيمة ETH المسروقة (حوالي 1.12 مليار دولار أمريكي). لم يتم الكشف عن المصدر المحدد للقرض، لكنه قد يشمل اقتراضات من Bitget. كأداة تمويل قصيرة الأجل، تم تصميم قروض الجسر لتجديد السيولة بسرعة وتجنب الحاجة إلى قيام Bybit بشراء كميات كبيرة من ETH في السوق على الفور، مما يتسبب في المزيد من التقلبات في السوق.

• KuCoin يساعد في المراقبة والتجميد: قال الرئيس التنفيذي لشركة KuCoin إن شركته ساعدت Bybit في مراقبة تدفق الأموال المسروقة وتجميد الأصول المشبوهة في محاولة للحد من الخسائر.

• التدقيق المالي وإثبات الملاءة المالية: أصدرت وكالة Hacken، وهي وكالة تدقيق Web3 التي تتعاون معها Bybit، تحديثًا لإثبات الاحتياطيات. لا تزال احتياطيات Bybit تتجاوز التزاماتها، ويمكن دعم أموال المستخدمين بالكامل. كما صرح الرئيس التنفيذي لشركة Bybit، بن تشو، أن Bybit تتمتع بالملاءة المالية وأن أصول المستخدمين مضمونة بنسبة 1:1. وحتى إذا لم يتم تعويض الخسائر الناجمة عن حادثة الاختراق، فلا يزال بإمكان Bybit تعويض المستخدمين عن خسائرهم.

معالجة سحب المستخدمين: صرح الرئيس التنفيذي لشركة Bybit أن وظيفة السحب في المنصة تعمل بشكل طبيعي وأكد أن 99.994% من طلبات السحب قد اكتملت، لكنه اعترف بأنه قد يكون هناك تأخيرات في معالجة عدد كبير من طلبات السحب.

خلفية الحدث وكشفاتجاهات الصناعة

نظرة عامة على بورصة بايبت: تأسست بايبت في عام 2018 ويقع مقرها الرئيسي في سنغافورة. وهي بورصة للعملات المشفرة تعمل بشكل أساسي في تداول المشتقات. ولديها أكثر من 10 ملايين مستخدم ولها تأثير معين في الصناعة.

سرقات العملات المشفرة المتكررة: في السنوات الأخيرة، أصبحت البورصات المركزية أهدافًا عالية القيمة لهجمات القراصنة بسبب أموالها المركزة. في عام 2024، سيصل حجم العملات المشفرة المسروقة في جميع أنحاء العالم إلى 2.3 مليار دولار أمريكي، وتجاوز المبلغ المسروق من Bybit في هذه الحادثة 60% من المبلغ المسروق في الصناعة العام الماضي، مما يسلط الضوء على خطورة الوضع الأمني ​​في الصناعة. وفي السابق، عانت مشاريع معروفة مثل Ronin Network أيضًا من سرقات واسعة النطاق، مما يشير إلى أن تقنيات هجوم القراصنة تتطور باستمرار وأن المنصات المركزية تواجه تحديات أمنية مستمرة.

الإنذار المبكر والتخطيط الطويل الأمد: كشفت وكالة الأمن SlowMist أن العقد الخبيث تم نشره في وقت مبكر من 19 فبراير، مما يشير إلى أن الهجوم لم يكن مؤقتًا، بل كان نتيجة لفترة طويلة من التخطيط والإعداد الدقيق.

تحليل سبب الحادث

الثغرات التقنية وهجمات الهندسة الاجتماعية:

يظهر التحليل الأولي أن المهاجم ربما استغل ثغرة عملية التوقيع في المحفظة الباردة متعددة التوقيعات الخاصة بشركة Bybit، وخدع مالك المحفظة الباردة متعددة التوقيعات ليوقع على معاملة ضارة عن طريق إخفاء واجهة المعاملة واستبدال عقد التنفيذ الآمن. ربما يكون المهاجم قد جمع بين تقنيات الهندسة الاجتماعية (راجع الهجوم الذي وقع في أكتوبر/تشرين الأول من العام الماضي)، مثل غزو كمبيوتر المُوقِّع أو روابط الاتصال الوسيطة، واستبدال طلبات المعاملات العادية بمعاملات ضارة، وتقليل يقظة المُوقِّع. تم استغلال تعليمة DELEGATECALL في عقد ضار، مما قد يسمح بتنفيذ التعليمات البرمجية الضارة في سياق محفظة متعددة التوقيع، وبالتالي تعديل منطق العقد ونقل الأموال.

المخاطر المتأصلة في البورصات المركزية:

باعتبارها أمناء مركزيين لأموال المستخدمين، فإن البورصات المركزية معرضة بطبيعة الحال لخطر "الفشل عند نقطة واحدة" ويمكن استهدافها بسهولة من قبل هجمات القراصنة. أقر الرئيس التنفيذي لشركة Bybit، بن تشو، علنًا بهذه الثغرة الأمنية المتأصلة في CEX في وقت مبكر من عام 2020.

العوامل البيئية الخارجية:

في فبراير 2025، انتعشت سوق العملات المشفرة بشكل عام وارتفع سعر ETH، وهو ما قد يكون حفز دافع المتسللين للسرقة. كما تعرضت منصات تشفير أخرى (مثل ZkLend) لهجمات مؤخرًا، مما يعكس أن بيئة الأمن العامة في الصناعة قد تتدهور.

تأثير الحادث

التأثير المباشر على Bybit:

خسارة مالية ضخمة: سُرقت أصول بقيمة 1.5 مليار دولار، وهو ما يمثل نسبة كبيرة من ودائع ETH لدى Bybit (حوالي 75%)، مما تسبب في خسائر اقتصادية مباشرة للبورصة. أزمة ثقة المستخدمين وموجة الانسحاب: قد تؤدي حوادث السرقة واسعة النطاق إلى إثارة أزمة ثقة في أمان منصة Bybit، مما يؤدي إلى عمليات سحب مركزة من قبل المستخدمين ويسبب ضغوطًا هائلة على سيولة المنصة. تقلبات سعر ETH على المدى القصير: بعد الحادث، انخفض سعر ETH بنحو 3% على المدى القصير، مما يعكس المشاعر السلبية للسوق تجاه الحادث.

الضرر الذي لحق بالسمعة: على الرغم من أن شركة Bybit استجابت بشكل إيجابي وأكدت على قدرتها على الوفاء بالتزاماتها المالية، إلا أن هذه الحادثة كان لها بلا شك تأثير سلبي معين على سمعة شركة Bybit. التأثير على صناعة العملات المشفرة: تفاقم أزمة الثقة في بورصة CEX: أدى حادث Bybit إلى تفاقم مخاوف المستخدمين بشأن أمن البورصات المركزية، مما قد يدفع بعض المستخدمين إلى تحويل الأموال إلى البورصات اللامركزية (DEX) أو اختيار حلول حفظ الأصول الأكثر أمانًا.

قد تزداد الضغوط التنظيمية: تاريخيا، كانت حوادث أمن البورصات واسعة النطاق تجتذب في كثير من الأحيان انتباه الجهات التنظيمية وتدخلها. قد تدفع حادثة Bybit الجهات التنظيمية في مختلف البلدان إلى تعزيز عمليات تدقيق الأمن ومتطلبات الإشراف على الامتثال لـ CEX.

تعزيز ترقيات أمن الصناعة: قد يصبح هذا الحادث نقطة تحول مهمة في مجال أمن التشفير، مما يدفع البورصات ووكالات الأمن ومجتمعات المطورين إلى الترويج المشترك للترقية الشاملة للأمن التقني وآليات الحوكمة وتحسين مستوى الأمن العام للصناعة.

مناقشة محتملة حول انقسام الإيثريوم: ناقش مدير كوين بيز كونور جروجان وشخصية صناعة العملات المشفرة آرثر هايز علنًا ما إذا كان هذا الحادث قد يؤدي إلى نقاش حول انقسام الإيثريوم على غرار حادثة داو. وعلى الرغم من أن الدعوات إلى الانقسام قد تكون جذرية، إلا أنها تعكس أيضًا خطورة الحادث واعتبارات الصناعة المحتملة للمواقف المتطرفة.

ردود الفعل من مختلف أطراف الصناعة

مسؤول بايبيت: كشف الرئيس التنفيذي لشركة بايبيت، بن تشو، بسرعة عن تفاصيل الحادث بعد وقوعه، وتواصل مع المستخدمين من خلال وسائل التواصل الاجتماعي والبث المباشر وما إلى ذلك، مؤكداً على قدرة المنصة على الوفاء بالتزاماتها والعمليات الطبيعية، ومحاولة استعادة ثقة المستخدمين من خلال الشفافية والتواصل النشط. وأعلنت شركة بايبت رسميًا أنها أبلغت السلطات المعنية بالقضية، وتتعاون مع الأجهزة الأمنية لإجراء التحقيقات وتتبع الأموال.

وكالات التدقيق الأمني: تدخلت شركات أمن بلوكتشين مثل SlowMist وBeosin بسرعة بعد الحادث، وقامت بتحليل التفاصيل الفنية للهجوم، وساعدت Bybit في تتبع الأموال المسروقة، وأصدرت تحذيرات أمنية للصناعة.

أعربت بورصات Bitget وKuCoin وMEXC وJucoin عن دعمها علنًا لـ Bybit وقدمت المساعدة المالية والفنية. وتعهدت شركة BitMart بتجميد العناوين المشبوهة، وقال مؤسس Binance، Changpeng Zhao، أيضًا إن Binance مستعدة لتقديم المساعدة إذا لزم الأمر. إن الدعم الجماعي والمساعدة المتبادلة التي تقدمها البورصات الرائدة في الصناعة يوضح موقفها تجاه معالجة مخاطر أمن الصناعة.

المجتمع والمحللون: أعرب مجتمع العملات المشفرة ومحللو الصناعة بشكل عام عن قلقهم وتوترهم بشأن هذا الحادث. أكد بعض المستخدمين على شفافية التواصل الذي تقدمه Bybit، لكن المزيد من المستخدمين أعربوا عن مخاوف عامة بشأن أمن CEX. وأشار المحللون إلى أن هذه الحادثة قد تدفع CEX إلى مراجعة وتحسين آليات التوقيع المتعدد، وعمليات تدقيق أمن العقود الذكية، وعمليات الأمن الداخلية.

ملخص

إن سرقة 1.5 مليار دولار التي تكبدتها بورصة Bybit Exchange هي أكبر خسارة مالية في تاريخ صناعة العملات المشفرة، وقد دقّت ناقوس الخطر مرة أخرى بشأن المخاطر الأمنية التي تشكلها البورصات المركزية. استغل القراصنة في هجماتهم المخططة بعناية الثغرات التقنية وأساليب الهندسة الاجتماعية لاختراق خطوط الأمن المتعددة للبورصة، مما تسبب في خسائر اقتصادية ضخمة وأزمة ثقة. وعلى الرغم من أن شركة Bybit واجهت حادثة أمنية غير متوقعة، إلا أن استجابتها السريعة وطرق التعامل المفتوحة والشفافة نسبيًا خففت بشكل فعال من قلق السوق. والأمر الأكثر تشجيعًا هو المساعدة من الأقران والدعم النشط من وكالات الأمن، مما يوضح تمامًا تضامن مجتمع العملات المشفرة في مساعدة بعضهم البعض. وفي حين أن هذه الحادثة تذكرنا بالمخاطر التي تنطوي عليها هذه الصناعة، فإنها تسمح لنا أيضاً برؤية النضج المتزايد والمرونة القوية التي يتمتع بها مجال التشفير. في المستقبل، قد تشهد صناعة العملات المشفرة ترقية شاملة في مجال الأمان بسبب هذه الحادثة. تحتاج البورصات المركزية إلى الاستمرار في زيادة استثماراتها في الأمان التقني وتحسين مستويات الحماية الأمنية في محافظ التوقيع المتعددة والعقود الذكية والتحكم الداخلي في المخاطر وما إلى ذلك. كما قد تعمل الجهات التنظيمية على تعزيز الرقابة على الامتثال لبورصة الأوراق المالية الكندية من أجل تعزيز التنمية الصحية والمنظمة للصناعة. بالنسبة للمستخدمين، فإن هذه الحادثة تذكرهم مرة أخرى بأن أمن الأصول هو دائمًا الاعتبار الأساسي عند المشاركة في سوق العملات المشفرة. أصبح من المهم بشكل متزايد تنويع المخاطر بشكل معقول واختيار حلول أكثر أمانًا لحفظ الأصول.

أحدث التطورات (حتى الساعة 09:55 بتوقيت هونج كونج، 22 فبراير 2025)

تعاونت شركة Bybit مع وكالة تدقيق Web3 Hacken لإصدار دليل على الاحتياطيات لإثبات قدرة المنصة على الوفاء بالتزاماتها المالية. تستمر البورصات مثل Bitget و MEXC في توفير قروض ETH و stETH إلى Bybit لتخفيف ضغط السيولة.

تساعد KuCoin شركة Bybit في مراقبة تدفقات الأموال وتجميد الأصول المشبوهة.

أوقفت شركة Safe رسميًا وظيفة Wallet لإجراء فحص أمني شامل. أوضح مؤسس Binance، تشاو تشانغ بينج، أن Binance لم تقدم قروضًا لشركة Bybit، وأن تحويل الأموال ذي الصلة قد يكون سلوكًا شخصيًا للحوت. أكد المحقق ZachXBT أن مجموعة Lazarus كانت العقل المدبر وراء الهجوم. حاول أحد مخترقي Bybit إلغاء حصة cmETH وتم إرجاعها بواسطة العقد.
أكد الرئيس التنفيذي لشركة Bybit أن جميع عمليات السحب تمت معالجتها وسيتم إصدار تقرير كامل عن الحادث.