در شب 21 فوریه، بن ژو، مدیر اجرایی صرافی ارز دیجیتال Bybit، به کامپیوتر خود وارد شد تا آنچه را که به نظر یک تراکنش عادی میرسید، تأیید کند. شرکت او در حال انتقال مقدار زیادی اتر، یک ارز دیجیتال محبوب، از یک حساب به حساب دیگر بود.
سی دقیقه بعد، آقای ژو تماسی از مدیر مالی Bybit دریافت کرد. این مدیر در حالی که صدایش میلرزید، به آقای ژو گفت که سیستم آنها هک شده است.
او گفت: تمام اترها از بین رفتهاند.
به گفته افبیآی، وقتی آقای ژو تراکنش را تأیید کرد، ناخواسته کنترل یک حساب را به هکرهایی که مورد حمایت دولت کره شمالی هستند، واگذار کرده بود. آنها 1.5 میلیارد دلار ارز دیجیتال را دزدیدند که بزرگترین سرقت در تاریخ این صنعت است.
برای انجام این نقض شگفتانگیز، هکرها از یک نقص ساده در امنیت Bybit سوء استفاده کردند: تکیه آن بر یک محصول نرمافزاری رایگان. آنها با دستکاری یک سیستم در دسترس عموم که صرافی برای محافظت از صدها میلیون دلار سپرده مشتری استفاده میکرد، به Bybit نفوذ کردند. سالها، Bybit به این نرمافزار ذخیرهسازی که توسط یک ارائهدهنده فناوری به نام Safe توسعه یافته بود، تکیه کرده بود، حتی زمانی که سایر شرکتهای امنیتی ابزارهای تخصصیتری را برای کسبوکارها میفروختند.
این هک باعث سقوط آزاد بازارهای ارز دیجیتال شد و اعتماد به این صنعت را در یک زمان حیاتی تضعیف کرد. تحت دولت ترامپ طرفدار ارز دیجیتال، مدیران این صنعت در حال لابی برای قوانین و مقررات جدید ایالات متحده هستند که ورود پسانداز مردم به ارزهای دیجیتال را آسانتر میکند. کاخ سفید روز جمعه قرار است میزبان نشست ارز دیجیتال با حضور رئیس جمهور ترامپ و مقامات ارشد این صنعت باشد.
کارشناسان امنیت ارز دیجیتال گفتند که از آنچه این سرقت در مورد پروتکلهای ایمنی Bybit نشان داد، نگران هستند. یک شرکت امنیتی در تحلیلی از این نقض نوشت که این خسارات کاملاً قابل پیشگیری بود و استدلال کرد که نباید اتفاق میافتاد.
ابزار ذخیرهسازی Safe به طور گسترده در صنعت ارز دیجیتال استفاده میشود. اما چارلز گیلمت، مدیر اجرایی Ledger، یک شرکت امنیتی ارز دیجیتال فرانسوی که یک سیستم ذخیرهسازی طراحی شده برای شرکتها ارائه میدهد، گفت که این ابزار بیشتر برای علاقهمندان به ارز دیجیتال مناسب است تا صرافیهایی که میلیاردها دلار سپرده مشتری را مدیریت میکنند.
او گفت: این واقعاً باید تغییر کند. این یک وضعیت قابل قبول در سال 2025 نیست.
در Bybit، این هک باعث یک دوره 48 ساعته دیوانهوار شد. این شرکت تا 20 میلیارد دلار سپرده مشتری را نظارت میکند، اما اتر کافی برای پوشش خسارات ناشی از سرقت 1.5 میلیارد دلاری در اختیار نداشت. آقای ژو، 38 ساله، برای حفظ شناوری کسبوکار، با قرض گرفتن از سایر شرکتها و برداشت از ذخایر شرکتی برای پاسخگویی به هجوم درخواستهای برداشت، تلاش کرد. در رسانههای اجتماعی، او به طرز شگفتآوری آرام به نظر میرسید و چند ساعت پس از سرقت اعلام کرد که سطح استرس او خیلی بد نیست.
همزمان با آشکار شدن بحران، قیمت بیت کوین، یک شاخص برای این صنعت، 20 درصد سقوط کرد. این شدیدترین سقوط از زمان ورشکستگی FTX در سال 2022 بود، صرافیای که توسط سام بنکمن-فرید، سرمایهدار رسوا، اداره میشد.
آقای ژو در مصاحبهای در این هفته اذعان کرد که Bybit از قبل هشدارهایی درباره مشکلات احتمالی Safe دریافت کرده بود. او گفت، سه یا چهار ماه قبل از هک، این شرکت متوجه شد که این نرمافزار با یکی دیگر از خدمات امنیتی آن کاملاً سازگار نیست.
آقای ژو گفت: ما باید Safe را ارتقا میدادیم و از آن دور میشدیم. ما قطعاً به دنبال انجام این کار هستیم.
راهول رومالا، مدیر ارشد محصول Safe، در بیانیهای گفت که تیم او ویژگیهای امنیتی جدیدی را برای محافظت از کاربران ایجاد کرده است و محصولات Safe ستون فقرات خزانهداری برای برخی از بزرگترین سازمانها در این فضا هستند.
آقای رومالا گفت: وظیفه ما فقط رفع آنچه اتفاق افتاده نیست، بلکه اطمینان از این است که کل فضا از آن درس میگیرد، تا این اتفاق دوباره نیفتد.
Bybit که در سال 2018 تأسیس شد، به عنوان یک بازار ارز دیجیتال فعالیت میکند، جایی که معاملهگران روزانه و سرمایهگذاران حرفهای میتوانند دلار یا یورو خود را به بیت کوین و اتر تبدیل کنند. بسیاری از سرمایهگذاران با صرافیهایی مانند Bybit به عنوان بانکهای غیررسمی رفتار میکنند، جایی که داراییهای ارز دیجیتال خود را برای نگهداری ایمن سپردهگذاری میکنند.
بر اساس برخی تخمینها، Bybit دومین صرافی بزرگ ارز دیجیتال در جهان است و روزانه دهها میلیارد دلار را پردازش میکند. این شرکت که در دبی مستقر است، به مشتریان در ایالات متحده خدماتی ارائه نمیدهد.
آقای ژو گفت که در 21 فوریه، در خانه خود در سنگاپور بود و برخی از کارهای خود را به پایان میرساند.
اما ابتدا، او و دو مدیر اجرایی دیگر باید انتقال ارزهای دیجیتال از یک حساب به حساب دیگر را امضا میکردند. این نقل و انتقالات معمولاً باید ایمن باشند: هیچ فردی در Bybit نمیتواند آنها را انجام دهد و لایههای حفاظتی متعددی در برابر دزدان ایجاد میکند.
با این حال، به گفته ممیزی هک Bybit، در پشت صحنه، گروهی از هکرها قبلاً به سیستم Safe نفوذ کرده بودند. فردی آگاه از این موضوع گفت، آنها یک رایانه متعلق به یک توسعهدهنده Safe را به خطر انداخته بودند و این امر آنها را قادر میساخت تا کد مخربی را برای دستکاری تراکنشها بکارند.
لینک ارسال شده از طریق Safe از آقای ژو دعوت کرد تا انتقال را تأیید کند. این یک حقه بود. وقتی او امضا کرد، هکرها کنترل حساب را به دست گرفتند و 1.5 میلیارد دلار ارز دیجیتال را دزدیدند.
جریانهای خروجی ناگهانی در بلاک چین، یک دفتر کل عمومی از تراکنشهای ارز دیجیتال، نشان داده شد. تحلیلگران ارز دیجیتال به سرعت عامل این حمله را گروه لازاروس، یک سندیکای هکری تحت حمایت دولت کره شمالی، شناسایی کردند.
آن شب، آقای ژو به دفتر Bybit در سنگاپور رفت تا بحران را مدیریت کند. او این هک را در رسانههای اجتماعی اعلام کرد و یک پروتکل بحران را که در این شرکت به عنوان P-1 شناخته میشود، آغاز کرد و دکمهای را فشار داد تا همه اعضای تیم رهبری را بیدار کند.
حدود ساعت 1 بامداد، آقای ژو در یک پخش زنده در X حاضر شد و یک نوشیدنی ردبول را سر کشید. او به مشتریان قول داد که Bybit همچنان توان پرداخت دارد.
او در پستی گفت: حتی اگر این خسارت ناشی از هک جبران نشود، تمام داراییهای مشتریان به صورت 1 به 1 پشتیبانی میشوند. ما میتوانیم این خسارت را پوشش دهیم.
این اطمینانها کافی نبود. آقای ژو گفت، ظرف چند ساعت، حدود نیمی از ارزهای دیجیتال سپردهگذاری شده در این پلتفرم، یا نزدیک به 10 میلیارد دلار، برداشت شد. بازار ارز دیجیتال سقوط کرد.
برای محدود کردن خسارت، سایر شرکتهای ارز دیجیتال پیشنهاد کمک دادند. گریسی چن، مدیر اجرایی یک صرافی رقیب به نام Bitget، 40000 اتر، یا تقریباً 100 میلیون دلار، را بدون درخواست هیچ بهره یا حتی وثیقهای به Bybit قرض داد.
خانم چن گفت: ما هرگز در توانایی آنها برای بازپرداخت به ما تردید نکردیم.
آقای ژو در میان جلسات بحران، در X تفسیری مستمر ارائه میداد. او تصاویری از یک برنامه سلامت به اشتراک گذاشت و نشان داد که سطح استرس او به طرز شگفتآوری طبیعی است.
او نوشت: بیش از حد متمرکز بر هدایت تمام جلسات بودم. فراموش کردم که استرس داشته باشم. فکر میکنم وقتی شروع کنم به درک واقعی مفهوم از دست دادن 1.5 میلیارد دلار، به زودی خواهد رسید.
هکرهای کره شمالی پس از غارت Bybit، وجوه دزدیده شده را در یک شبکه گسترده از کیف پولهای آنلاین ارز دیجیتال پخش کردند، یک استراتژی پولشویی که پس از سایر سرقتها نیز از آن استفاده کرده بودند.
حسیب قریشی، یک سرمایهگذار خطرپذیر، پس از سرقت در X نوشت: گروه لازاروس در سطح دیگری است.
کارشناسان امنیتی Bybit را به دلیل قرار دادن خود در معرض خطر سرزنش کردند. آقای ژو گفت، برای تأیید انتقال معمول که منجر به هک شد، او از یک ابزار سختافزاری طراحی شده توسط Ledger، شرکت امنیتی ارز دیجیتال، استفاده کرد. او گفت، این دستگاه با Safe همگام نبود. بنابراین او نمیتوانست از این ابزار برای بررسی جزئیات کامل تراکنشی که در حال تأیید آن بود استفاده کند، که همیشه یک عمل خطرناک در دنیای ارز دیجیتال است.
ریاض وهبی، استاد مهندسی کامپیوتر در دانشگاه کارنگی ملون و یکی از بنیانگذاران شرکت امنیت دیجیتال Cubist، گفت: Safe فقط آن نوع کنترلهایی را که اگر قرار باشد مرتباً انتقالهای عملیاتی انجام دهید، نمیخواهید به شما نمیدهد.
آقای ژو گفت که آرزو میکند زودتر برای تقویت دفاع Bybit اقدام میکرد. او گفت: اکنون پشیمانیهای زیادی وجود دارد. من باید توجه بیشتری به این حوزه میکردم.
با این حال، Bybit پس از هک به فعالیت خود ادامه داد و آقای ژو گفت، پردازش تمام برداشتها را ظرف 12 ساعت انجام داد. مدت کوتاهی پس از نقض، او در X اعلام کرد که این شرکت در حال جابجایی حدود 3 میلیارد دلار ارز دیجیتال دیگر است.
او نوشت: این یک مانور برنامهریزی شده است، برای اطلاع شما. این بار هک نشدهایم.