روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ 21 فوریه روز سیاهی برای بازار کریپتو بود زیرا بزرگترین سرقت را در تاریخ خودش دید. مهاجمین حدود 1.5 میلیارد دلار از Bybit، دومین صرافی بزرگ کریپتو در جهان به جیب زدند. کارشناسان آن را به عنوان بزرگترین سرقت دوران یاد کردند (سرقت از هر چیزی). اگرچه نه این ضرر و نه برداشت 5 میلیارد دلاریِ بعد از آن توسط سرمایه‌گذارانِ وحشت‌زده برای بای‌بیت کشنده نبود، اما این رخداد بر ایرادات اساسی در اکوسیستم کریپتو مدرن تأکید می‌کند و درس‌های ارزشمندی را برای کاربران عادی ارائه می‌دهد.

چگونه بای‌بیت دزدیده شد؟
مانند تمام صرافی‌های اصلی رمزارز، Bybit ارزهای دیجیتال ذخیره‌شده را با محافظت چند لایه ایمن می‌کند. بیشتر وجوه در کیف پول های سرد جدا از سیستم های آنلاین ذخیره می شود. هنگامی که دارایی‌های جاری نیاز به شارژ دارند، مبلغ مورد نیاز به صورت دستی از کیف پول سرد به کیف پول داغ منتقل و عملیات توسط چندین کارمند به طور همزمان امضا می‌شود. برای این کار، Bybit از یک راه حل چند امضایی از کیف پول Safe استفاده نموده و هر کارمندی که در تراکنش دخیل است آن را با استفاده از یک کلید رمزنگاری سخت افزاری خصوصی Ledger امضا می کند.
مهاجمان سیستم را با جزئیات مطالعه کردند و به گفته محققین مستقل، یک ماشین توسعه دهنده Safe را به خطر انداختند. احتمالاً، تغییرات مخربی در کد نمایش صفحات برنامه وب Safe انجام شده است. اما بمب داخل آن تنها در صورتی فعال می‌شد که منبع تراکنش با آدرس قرارداد Bybit مطابقت داشته باشد - در غیر این صورت Safe طبق معمول کار می‌کرد. صاحبان Safe پس از انجام تحقیقات خود، یافته های دو شرکت مستقل امنیت اطلاعات را رد کردند و اصرار داشتند که زیرساخت آنها هک نشده است.
می‌پرسید چه اتفاقی افتاد؟ طی یک شارژ معمولی ۷ میلیون دلاری به یک کیف پول داغ، کارمندان Bybit روی صفحه کامپیوتر خود این مقدار دقیق و آدرس گیرنده را مشاهده کردند که با آدرس کیف پول داغ مطابقت داشت. اما داده های دیگر برای امضا ارسال شد! برای نقل و انتقالات منظم، آدرس گیرنده را می‌توان (و باید!) در صفحه دستگاه لجر بررسی کرد. اما هنگام امضای تراکنش‌های چند علامتی، این اطلاعات نمایش داده نمی‌شوند – بنابراین کارمندان Bybit اساساً یک انتقال کور انجام دادند.
در نتیجه، آنها به طور ناخواسته یک قرارداد هوشمند مخرب را که کل محتویات یکی از کیف پول های سرد Bybit را به چند صد کیف پول جعلی منتقل کرده بود مجاز اعلام کردند. به محض اینکه برداشت از کیف پول Bybit کامل شد، به نظر می رسد که کد موجود در وبسایت Safe به نسخه بی ضرر بازگشته است. مهاجمان در حال حاضر مشغول «لایه‌بندی» اتریومِ دزدیده‌شده‌اند (انتقال آن به صورت تکه‌ای در تلاش برای شستشوی آن). از نظر ظاهری، بای‌بیت و مشتریانش قربانی یک حمله هدفمند زنجیره تأمین شدند.
هک Bybit ، اتفاقی نبود که فقط یک بار بیافتد
اف بی آی رسما یک گروه کره شمالی با اسم رمز TraderTraitor را عامل این جنایت معرفی کرد. در محافل امنیت اطلاعات، این گروه با نام های Lazarus، APT38 یا BlueNoroff نیز شناخته می شود. سبک علامت تجاری آن حملات مداوم، پیچیده و پایدار در حوزه ارزهای دیجیتال است: هک کردن توسعه دهندگان کیف پول، سرقت از صرافی‌های رمزنگاری، سرقت از کاربران عادی و حتی ساخت بازی‌های تقلبی برای کسب درآمد. قبل از حمله Bybit، رکورد این گروه سرقت 540 میلیون دلار از بلاک چین شبکه Ronin بود که برای بازی Axie Infinity ایجاد شده بود. در آن حمله 2022، هکرها با استفاده از یک پیشنهاد شغلی جعلی در یک فایل PDF آلوده، رایانه یکی از توسعه‌دهندگان بازی را آلوده کردند. این تکنیک مهندسی اجتماعی تا به امروز در زرادخانه گروه باقی مانده است.
در ماه می 2024، این گروه بیش از 300 میلیون دلار را از صرافی ارز دیجیتال ژاپنی DMM بیت کوین به دست آورد که در نتیجه ورشکست شد. قبل از آن، در سال 2020، بیش از 275 میلیون دلار از صرافی رمزارز KuCoin خارج شد که دلیل آن یک "کلید خصوصی لو رفته" برای کیف پول داغ ذکر شده بود. لازاروس بیش از یک دهه است که تاکتیک‌های سرقت ارزهای دیجیتال خود را تقویت کرده است. در سال 2018، ما در مورد مجموعه‌ای از حملات به بانک‌ها و صرافی‌های رمزنگاری با استفاده از یک برنامه معاملاتی ارزهای دیجیتال تروجانیزه شده به عنوان بخشی از عملیات AppleJeus نوشتیم. کارشناسان Elliptic تخمین می زنند که مجموع درآمد مجرمان بازیگران مرتبط با کره شمالی حدود 6 میلیارد دلار است.

کاری که سرمایه‌گذاران کریپتو باید انجام دهند
در مورد Bybit، مشتریان خوش شانس بودند: صرافی به سرعت موج درخواست های برداشت را که به وجود آمد، خدمات رسانی کرد و قول داد که ضرر را از منابع مالی خود جبران کند. Bybit همچنان در تجارت باقی می ماند، بنابراین مشتریان نیازی به اقدام خاصی ندارند.
اما این هک بار دیگر نشان می‌دهد که امنیت وجوهی که در سیستم‌های بلاکچین جریان می‌یابد چقدر سخت است و چقدر می‌توان برای لغو یک تراکنش یا بازپرداخت پول انجام داد. با توجه به مقیاس بی‌سابقه این حمله، بسیاری خواستار بازگشت بلاک‌چین اتریوم به حالت پیش از هک شده‌اند، اما توسعه‌دهندگان اتریوم این را «از لحاظ فنی غیرقابل‌حل» می‌دانند. در همین حال، بای‌بیت یک برنامه جایزه برای صرافی‌های ارز دیجیتال و محققین اخلاقی به میزان 10 درصد از کل وجوه بازیابی شده اعلام کرده است، اما تاکنون تنها 43 میلیون دلار محقق شده است. این امر باعث شده برخی از کارشناسان صنعت کریپتو حدس بزنند که عواقب اصلی هک افزایش «خود‌نگهبانیِ دارایی‌های ارزی » خواهد بود.
این خودنگهبانی، مسئولیت ذخیره‌سازی ایمن را از دوش متخصصان برداشته و بر گردن شما می‌اندازد. بنابراین، تنها زمانی این مسیر را طی کنید که به توانایی های خود برای تسلط کامل بر تمام اقدامات امنیتی و پیروی سختگیرانه آنها روز به روز اعتماد کامل داشته باشید. توجه داشته باشید که کاربران عادی بدون میلیون‌ها کیف پول دیجیتال بعید است با حمله پیچیده‌ای که به طور خاص آنها را هدف قرار می‌دهد مواجه شوند، در حالی که حملات انبوه عمومی راحت‌تر منحرف می‌شوند.

راهکارهای امنیتی

• یک کیف پول سخت‌افزاری با صفحه نمایش بخرید. این موثرترین راه برای محافظت از دارایی‌های رمزنگاری است. ابتدا کمی تحقیق کنید و مطمئن شوید که کیف پول از یک فروشنده معتبر خریداری می‌کنید. در غیر این صورت، ممکن است کیف پولی از پیش هک‌شده دریافت کنید که تمام سرمایه شما را به باد می‌دهد. هنگام استفاده از کیف‌پول برای امضای نقل و انتقالات، همیشه آدرس گیرنده را هم در صفحه رایانه و هم در صفحه کیف پول بررسی کنید تا جایگزینی آن با یک قرارداد هوشمند مخرب یا یک تروجان کلیپر که جایگزین آدرس‌های کیف پول رمزنگاری‌شده در کلیپ بورد شود را رد کنید.
• هرگز عبارات بازیابی کیف پول را به شکل الکترونیکی ذخیره نکنید. استفاده از فایل‌ها در رایانه و عکس‌های موجود در گالری خود را برای این کار فراموش کنید – تروجان‌های مدرن یاد گرفته‌اند که به Google Play و App Store نفوذ کنند و داده‌های موجود در عکس‌های ذخیره شده در تلفن هوشمند شما را تشخیص دهند. فقط سوابق کاغذی (یا حکاکی‌های فلزی، در صورت تمایل) که در داخل یک گاوصندوق یا در مکان امن فیزیکی دیگری که هم از دسترسی غیرمجاز و هم از بلایای طبیعی محافظت می شود، نگهداری می شود. ممکن است چندین مکان ذخیره سازی را در نظر بگیرید و همچنین عبارت بازیابی خود را به قسمت‌هایی تقسیم کنید.
• تمام سکه‌های (تخم‌مرغ‌های) خود را در یک سبد قرار ندهید. برای دارندگان مقادیر زیاد یا انواع مختلف دارایی های رمزنگاری، استفاده از کیف پول‌های متعدد منطقی است. مقادیر کمی برای نیازهای تراکنش را می‌توان در یک صرافی رمزنگاری ذخیره کرد، در حالی که عمده آن را می‌توان بین چندین کیف پول رمزنگاری سخت افزاری تقسیم نمود.
• از یک کامپیوتر اختصاصی استفاده کنید. در صورت امکان، یک کامپیوتر را برای تراکنش های ارز دیجیتال اختصاص دهید. دسترسی به آن را از نظر فیزیکی محدود کنید (به عنوان مثال، آن را در یک گاوصندوق، یک کمد قفل شده یا اتاق قفل شده قرار دهید)، از رمزگذاری دیسک و ورود رمز عبور استفاده کنید و یک حساب جداگانه با رمزهای عبور خود داشته باشید (یعنی متفاوت از رمزهای عبور در رایانه اصلی خود). محافظت قابل اعتماد را نصب کنید و حداکثر تنظیمات امنیتی را در "رایانه رمزنگاری" خود فعال کنید. آن را فقط برای تراکنش به اینترنت وصل کنید و فقط برای عملیات با کیف پول از آن استفاده کنید. انجام بازی، خواندن اخبار رمزنگاری و چت با دوستان برای دستگاه دیگری است.
• اگر اختصاص دادن رایانه، انجام‌شدنی نیست یا صرفه‌ی اقتصادی ندارد، بهداشت دیجیتال را در رایانه اصلی خود رعایت کنید. یک حساب جداگانه با امتیازات کم (غیر ادمین) برای عملیات رمزنگاری، و یک حساب دیگر - همچنین غیر ادمین- برای کار، چت و بازی ایجاد کنید. به هیچ وجه نیازی به کار در حالت ادمین نیست، به جز به روز رسانی نرم افزار سیستم یا پیکربندی مجدد قابل توجهی کامپیوتر. فقط برای عملیات با کیف پول به «حساب رمزنگاری» اختصاصی خود وارد شوید و بلافاصله پس از آن از سیستم خارج شوید. به افراد خارجی اجازه دسترسی به رایانه را ندهید و رمزهای عبور مدیریت را با کسی به اشتراک ندهید.
• هنگام انتخاب نرم افزار cryptowallet مراقب باشید. توضیحات نرم‌افزار را به دقت مطالعه کنید، مطمئن شوید که برنامه برای مدت طولانی در بازار موجود است و بررسی کنید که آن را از وب سایت رسمی دانلود می‌کنید و امضای دیجیتال توزیع با وبسایت و نام فروشنده مطابقت دارد. قبل از نصب و اجرای نرم افزار cryptowallet، یک اسکن عمیق از رایانه خود با یک راهکار امنیتی به روز انجام دهید.
• مراقب به روز رسانی‌ها باشید. در حالی که ما معمولاً به‌روزرسانی همه نرم‌افزارها را فوراً توصیه می‌کنیم، در مورد برنامه‌های ارزهای دیجیتال، ارزش کمی دارد که این سیاست را تنظیم کنید. پس از انتشار نسخه جدید، حدود یک هفته صبر کنید و قبل از نصب، بررسی ها را مطالعه کنید. این به جامعه زمان می‌دهد تا هر گونه باگ یا تروجانی را که ممکن است به صورت مخفیانه وارد به‌روزرسانی شده باشد، پیدا کند.
• اقدامات امنیتی پیشرفته رایانه‌ای را که در پست محافظت از سرمایه گذاری‌های رمزنگاری شده‌ی ما در وبلاگ روزانه توضیح داده شده است دنبال کنید: چهار مرحله کلیدی برای ایمنی، که شامل نصب یک راهکار امنیتی قدرتمند مانند Kaspersky Premium در رایانه و تلفن هوشمند خود، به روز رسانی منظم سیستم عامل و مرورگرهای خود و استفاده از رمزهای عبور قوی و منحصر به فرد است.
• منتظر فیشینگ باشید کلاهبرداری در ارزهای دیجیتال می‌تواند چند وجهی و پیچیده باشد، بنابراین هرگونه پیام غیرمنتظره از طریق ایمیل، برنامه پیام‌رسان و موارد مشابه باید به عنوان شروع یک کلاهبرداری تلقی شود. با دنبال کردن وبلاگ یا کانال تلگرام ما و همچنین سایر منابع معتبر امنیت سایبری، از آخرین کلاهبرداری‌های رمزنگاری مطلع شوید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.