هذه فقرة من رسالة 0xResearch الإخبارية. للاطلاع على النشرات الكاملة، اشترك.
استغلال بـ1.4 مليار دولار يضرب Bybit
العملية التي استهدفت منصة Bybit، والتي بلغت 1.4 مليار دولار، أثارت ردود فعل متوقعة: تدفق شركات الأمن والبنية التحتية كل منها يدعي أن تقنيته كانت ستمنع الهجوم. وقد أكدت مكتب التحقيقات الفيدرالي أن مجموعة لازاروس من كوريا الشمالية هي وراء الاختراق، حيث استهدفت إعداد Safe{Wallet} الخاص بـ Bybit. وكشفت التفاصيل أن الجهاز المخترق لم يكن تابع لبنية Bybit التحتية، بل كان جهاز المطور في Safe، مما سمح للهجوم بحقن كود خبيث في واجهة توقيع المعاملات.
نجم عن هذا الخداع توقيع المباشر لمعاملات مزيفة، مما أدى إلى استنزاف محفظة Ethereum الأكبر لمنصة Bybit.
التوقيع الأعمى: مشكلة متجددة
وأكدت الباحثة الأمنية تايلور موناهان أن هذا الهجوم كان متوقعًا جدًا بالنظر إلى مشكلة التوقيع الأعمى المستمرة في صناعة العملات المشفرة. وكما أشارت: “لا توجد مؤسسة في هذا المجال تأخذ الأمن بجدية كافية لحماية نفسها من خصم مثل لازاروس”.
- اختراق واجهة المستخدم لـ Safe{Wallet} — كانت منصة Bybit تعرض معاملة متوقعة، إلا أن الموقعين وافقوا بدون علم على معاملة مختلفة تمامًا.
- التوقيع الأعمى على أجهزة Ledger كان الفشل النهائي — اعترف بن زو، الموقع الأخير في Bybit، بأنه لم يتحقق بالكامل من المعاملة على محفظته الصلبة Ledger قبل الموافقة عليها.
- استهدف الهجوم الإشراف البشري — لم يكن لازاروس بحاجة لاستغلال العقود الذكية أو كسر الأمان التشفيري؛ اكتفى باستغلال الثقة في واجهة المستخدم.
انتقادا لشركات الأمن والبنية التحتية
انتقد الرئيس التنفيذي السابق لبينانس CZ استجابة Safe، وطرح أسئلة حاسمة مثل: لماذا كان لجهاز مطور واحد فقط إمكانية الوصول إلى عملية معاملة Bybit؟ كيف فشل عملية التوقيع في Ledger في منع هذا؟ وما الدروس الأمنية التي ينبغي أن تتعلمها الصناعة؟
تدفق الشركات بعد الهجمات البارزة
مع كل اختراق بارز، تتوافد الشركات مدعية أن منتجها كان سيوقفه. البعض يعالج المشكلة المحددة — التحقق الآمن من المعاملات — بينما يستحوذ آخرون على السرد التسويقي.
الادعاءات مقابل الواقع
- الادعاء: تعتبر إضافات المتصفحات وإدارة المفاتيح الخاصة هي الروابط الضعيفة. OISY يلغيها بالكامل لعمله على السلسلة.
- الواقع: الهجوم لم يكن بسبب إضافات المتصفحات أو تعريض المفاتيح الخاصة — كان التوقيع الأعمى هو المشكلة. قد تكون بنية OISY جديدة، لكنها لا تحل المشكلة التي سببت هذا الاختراق.
- الادعاء: خدمات السحاب المركزية مثل AWS كانت السبب الجذري للاستغلال.
- الواقع: بينما يمكن للتخزين السحابي اللامركزي تقليل مساحة الهجوم، لم يتم اختراق Bybit عبر AWS. كان الإشكال في تلاعب واجهة Safe والتوقيع الأعمى — وليس اختيار مزود استضافة السحابة.
- الادعاء: فرض سياسات توقيع صارمة، مثل العناوين المسبقة الموافقة، والتأخيرات الإدارية والمصادقة متعددة العوامل كان سيحظر هذا الاختراق.
- الواقع: هذا ذو صلة بالفعل. إذا كانت Bybit قد فرضت قيود التوقيع، لما استطاع لازاروس خداعها بتوقيع معاملة ضارة بشكل أعمى.
- الادعاء: نموذج الأمان الخاص بـBybit كان معيوبًا أساسًا — التوقيع الأعمى في Ledger مجتمعة مع vulnerability واجهة Safe تركتها مفتوحة للهجوم. تدعي Fireblocks أن بنيتها التحتية المستندة إلى MPC، ومحركات السياسات والتحقق من المعاملات المباشرة كانت ستخفف من هذه المخاطر.
- الواقع: هذا الادعاء هو من بين الردود الأكثر صحة. إن فرض السياسات من Fireblocks كان سيمنع الموافقات العشوائية، مما يتطلب قواعد معاملات معرّفة مسبقًا تحظر المعاملات غير المتوقعة — حتى إذا تم خداع الموقعين.
الدرس الحقيقي هو أن الثقة في واجهة المستخدم هي أكبر ثغرة أمنية. لم يكن هجوم Bybit يتعلق بالعقود الذكية أو اللامركزية أو أمان المفاتيح الخاصة — كان يتعلق بالثقة العمياء في واجهة مستخدم مخترقة.
الأسئلة الأكثر شيوعاً (FAQs)
- ما هو سبب اختراق Bybit؟
- الاختراق كان ناتجًا عن حقن كود خبيث في واجهة توقيع المعاملات الخاصة بـSafe، ما أدى إلى توقيع معاملات مزورة بدون التحقق الكامل منها.
- ما هو التوقيع الأعمى وكيف ساهم في الاختراق؟
- التوقيع الأعمى هو عملية توقيع المعاملات بدون تحقق كامل من محتواها. ساهم هذا في الاختراق لأن الموقعين وافقوا دون علم على معاملات غير صحيحة.
- كيف يمكن منع هكذا اختراقات في المستقبل؟
- تعزيز الأمن عبر فرض سياسات توقيع صارمة، وتدقيق شفاف لتوقيعات المعاملات وتثبيت إجراءات تحقق متعددة العوامل يمكن أن تقلل من مخاطر الهجمات المستقبلية.
