تحديث اختراق Bybit: اختفت ما يقرب من 650 مليون دولار من العملات المشفرة المسروقة

أثارت سرقة عملات رقمية ضخمة بلغت قيمتها 1.4 مليار دولار من بورصة Bybit ناقوس خطر جديد في صناعة الأصول الرقمية.

وبحسب البيانات التي جمعها باحثو البورصة والأمن، اختفى حوالي 644 مليون دولار من الأموال المسروقة - ما يقرب من نصف الإجمالي - من مراقبة blockchain القابلة للتتبع.

تم توجيه هذه الأموال بشكل منهجي من خلال خدمات خلط العملات المشفرة، والتي تم تصميمها لإخفاء مصدر ووجهة المعاملات.

ويلقي هذا التطور ضوءا جديدا على كيفية تطور أساليب غسيل الأموال، خاصة مع الاستمرار في استخدام الخدمات التي سبق أن تم فرض عقوبات عليها أو ادعى أنها أصبحت غير صالحة للاستخدام.

ويشير التحقيق أيضًا إلى وجود روابط مع مجموعة القرصنة الكورية الشمالية TraderTraitor، التي استغلت ثغرة أمنية في جهاز كمبيوتر محمول لمطور برامج في أوائل فبراير.

تم تمكين الاستغلال من خلال برنامج ضار يتظاهر بأنه محاكي للاستثمار في الأسهم، مما أدى إلى اختراق بيانات اعتماد حساسة.

تهيمن محفظة Wasabi و eXch على عمليات غسيل الأموال

يكشف تحقيق أجرته شركة Bybit أن 247.5 مليون دولار (حوالي 966 BTC) تم توجيهها عبر محفظة Wasabi Wallet، وهي محفظة Bitcoin تركز على الخصوصية وتستخدم CoinJoin لخلط المعاملات.

وتم تحويل 94.1 مليون دولار أخرى من خلال eXch، وهي خدمة خلط أقل شهرة أعلنت علنًا عن إغلاقها في أبريل 2025.

ومع ذلك، أكد خبراء الطب الشرعي أن eXch يظل نشطًا من خلال واجهات برمجة التطبيقات الخلفية، مما يسمح باستمرار غسيل الأموال دون أن يتم اكتشافه من قبل معظم أجهزة المراقبة القياسية.

كما تم استخدام خدمات الخلط مثل Tornado Cash و Railgun، ولكن بدرجة أقل.

وأكدت شركة TRM Labs أن Tornado Cash تم استخدامه لغسل 2.5 مليون دولار في Ethereum، بينما سهلت Railgun معاملات بقيمة 1.7 مليون دولار في Ethereum.

تعمل هذه الخدمات من خلال تجميع أموال المستخدمين المتعددين وإعادة توزيعها بطريقة تجعل تتبعها مستحيلاً تقريبًا.

ووصف المحللون في شركة TRM Labs نشاط غسيل الأموال بأنه "من الصعب للغاية" تتبعه بسبب الطريقة التي يتم بها تجميع المعاملات وإعادة توزيعها.

نشاط eXch يثير القلق بعد إعلان الإغلاق

حظيت شركة eXch، على وجه الخصوص، باهتمام كبير بسبب ادعائها بالإغلاق في أبريل.

أكد باحثو أمن العملات المشفرة، بما في ذلك المحللون في TRM Labs، أن الواجهة الخلفية للخدمة لا تزال تعمل.

إن استمرار البنية التحتية لشركة eXch، حتى بعد الإعلان العام عن إغلاقها، قد أضاف طبقة من التعقيد إلى التحقيقات الجارية.

من التحديات الرئيسية التي تواجه المحققين الغموض التام الذي تُحدثه هذه الأجهزة. إذ يكاد يكون من المستحيل متابعة المعاملات بمجرد دخولها إلى هذه الخدمات.

وأشارت شركة TRM Labs إلى أنه نظرًا لأن جميع الأموال الواردة والصادرة مختلطة معًا، فمن غير الممكن تحديد المستخدمين الفرديين أو العناوين وراء التحويلات.

ويحد هذا من فعالية أدوات شفافية blockchain، حتى عندما يتم تطبيق التحليل الجنائي.

مجموعة TraderTraitor المرتبطة بكوريا الشمالية متهمة بالاختراق

ومما يزيد القضية تعقيداً هو التورط المزعوم لجهات مدعومة من الدولة.

نشرت شركة Safe، وهي مزود واجهة محفظة العملات المشفرة، تفاصيل في مارس 2025 تشير إلى أن مجموعة القرصنة الكورية الشمالية TraderTraitor كانت وراء الاختراق الأصلي.

تمكن القراصنة من الوصول إلى أموال Bybit بعد اختراق جهاز MacBook الخاص بالمطور في Safe.

تم تنفيذ الهجوم عن طريق تضمين البرامج الضارة داخل ملف Docker متنكرًا في شكل محاكي للاستثمار في الأسهم.

بمجرد تنفيذه، اتصل البرنامج الخبيث بنطاق مشبوه وقام بتثبيت نصوص ضارة استخرجت رموز جلسة AWS.

وقد تم استخدام هذه الرموز بعد ذلك لتجاوز المصادقة متعددة العوامل والوصول إلى أنظمة Bybit الخلفية.

وقعت هذه الاختراقات في أوائل فبراير/شباط، وهي من بين أكبر سرقات العملات المشفرة في عام 2025.

وقد أدى ذلك إلى تجدد التدقيق من جانب الجهات التنظيمية وتحفيز المناقشات حول نقاط الضعف في البنية التحتية لـ Web3، وخاصة نقاط نهاية المطورين وبيانات اعتماد الوصول إلى السحابة.