سرقت۱.۴۶ میلیارد دلار دارایی دیجیتال از صرافی Bybit

در تاریخ ۲۱ فوریه ۲۰۲۵، حدود ۱.۴۶ میلیارد دلار دارایی دیجیتال از صرافی Bybit، که در دبی مستقر است، به سرقت رفت. گزارش‌های اولیه نشان می‌دهد که از بدافزار برای فریب صرافی و تأیید تراکنش‌هایی که این وجوه را به دزد منتقل کرده‌اند، استفاده شده است.

این سرقت، بدون شک بزرگ‌ترین سرقت تاریخ ارزهای دیجیتال محسوب می‌شود و رقم ۶۱۱ میلیون دلاری که در سال ۲۰۲۱ از Poly Network دزدیده شده بود (که بخش عمده‌ای از آن توسط هکر بازگردانده شد) را کاملاً ناچیز جلوه می‌دهد. در واقع، این رویداد احتمالاً بزرگ‌ترین سرقت ثبت‌شده در تاریخ است که حتی رکورد قبلی را که متعلق به صدام حسین بود، پشت سر گذاشته است. او در آستانه جنگ عراق در سال ۲۰۰۳، یک میلیارد دلار از بانک مرکزی عراق به سرقت برده بود.

سرقت Bybit به گروه لازاروس کره شمالی نسبت داده شده است. این نتیجه‌گیری بر اساس عوامل مختلفی، از جمله روند پول‌شویی دارایی‌های دیجیتال سرقت‌شده، انجام شده است.

از سال ۲۰۱۷ تاکنون، عوامل مرتبط با کره شمالی بیش از ۶ میلیارد دلار دارایی دیجیتال به سرقت برده‌اند. گفته می‌شود که درآمد حاصل از این سرقت‌ها برای تأمین مالی برنامه موشکی بالستیک این کشور هزینه شده است.

گروه لازاروس توانایی پیچیده و قدرتمندی در نفوذ به سازمان‌های هدف، سرقت دارایی‌های دیجیتال و همچنین پول‌شویی این اموال از طریق هزاران تراکنش بلاکچینی دارد.

سرقت چطوری انجام شده ؟

فرایند پول‌شویی گروه لازاروس معمولاً از یک الگوی مشخص پیروی می‌کند. اولین مرحله، تبدیل توکن‌های سرقت‌شده به یک دارایی «بومی» بلاکچین، مثل اتر، است. دلیل این کار این است که توکن‌ها دارای صادرکنندگانی هستند که در برخی موارد می‌توانند کیف پول‌های حاوی دارایی‌های سرقت‌شده را مسدود کنند، اما هیچ نهاد مرکزی نمی‌تواند اتر یا بیت‌کوین را مسدود کند.

این دقیقاً همان اتفاقی است که در دقایق اولیه پس از سرقت Bybit رخ داد. صدها میلیون دلار از توکن‌های سرقت‌شده مثل stETH و cmETH به اتر تبدیل شدند. برای انجام این کار از صرافی‌های غیرمتمرکز (DEX) استفاده شد، احتمالاً برای جلوگیری از مسدود شدن دارایی‌ها که ممکن بود در صرافی‌های متمرکز رخ دهد.

مرحله دوم پول‌شویی، "لایه‌بندی" دارایی‌های سرقت‌شده است تا رد تراکنش‌ها را مخفی کنند. شفافیت بلاکچین‌ها امکان ردیابی این تراکنش‌ها را فراهم می‌کند، اما این تاکتیک‌های لایه‌بندی می‌توانند روند ردیابی را پیچیده کرده و زمان ارزشمندی را برای نقد کردن دارایی‌ها در اختیار پول‌شویان قرار دهند. این مرحله به روش‌های مختلفی انجام می‌شود، از جمله:

• ارسال وجوه به تعداد زیادی کیف پول‌های ارز دیجیتال
• انتقال دارایی‌ها به بلاکچین‌های دیگر از طریق بریج‌های بین‌زنجیره‌ای یا صرافی‌ها
• تبدیل دارایی‌ها به ارزهای دیجیتال مختلف از طریق DEXها، سرویس‌های کوین‌سواپ یا صرافی‌ها
• استفاده از «میکسرها» مثل Tornado Cash یا Cryptomixer

در حال حاضر، لازاروس در این مرحله دوم پول‌شویی فعال است. طی دو ساعت پس از سرقت، دارایی‌های سرقت‌شده به ۵۰ کیف پول مختلف منتقل شد که هرکدام تقریباً ۱۰,۰۰۰ اتر را در خود نگه داشته‌اند. این کیف پول‌ها هم‌اکنون به‌صورت سیستماتیک در حال تخلیه هستند. تا ساعت ۲۲:۰۰ UTC در تاریخ ۲۳ فوریه، ۱۰ درصد از دارایی‌های سرقت‌شده (معادل ۱۴۰ میلیون دلار) از این کیف پول‌ها منتقل شده است.

پس از خروج از این کیف پول‌ها، دارایی‌ها از طریق سرویس‌های مختلفی مانند DEXها، بریج‌های بین‌زنجیره‌ای و صرافی‌های متمرکز پول‌شویی می‌شوند. اما در این میان، یک سرویس به‌عنوان یک تسهیل‌کننده بزرگ و مایل به همکاری در این فرایند ظاهر شده است. eXch یک صرافی ارز دیجیتال است که به کاربران خود اجازه می‌دهد تا دارایی‌های دیجیتال را به‌صورت ناشناس مبادله کنند. این موضوع باعث شده تا این صرافی به محلی برای تبادل صدها میلیون دلار دارایی دیجیتال حاصل از فعالیت‌های مجرمانه، از جمله چندین سرقت مرتبط با کره شمالی، تبدیل شود. از زمان این هک، دارایی‌های سرقت‌شده از Bybit به ارزش ده‌ها میلیون دلار از طریق eXch مبادله شده است. با وجود درخواست‌های مستقیم Bybit، eXch از مسدود کردن این فعالیت‌ها خودداری کرده است.

اترهای سرقت‌شده به‌صورت مداوم در حال تبدیل به بیت‌کوین هستند، از طریق eXch و سرویس‌های دیگر. اگر الگوهای پول‌شویی قبلی تکرار شوند، احتمالاً در مرحله بعد شاهد استفاده از میکسرها خواهیم بود تا مسیر تراکنش‌ها را بیش‌ازپیش مخدوش کنند. بااین‌حال، به دلیل حجم عظیم دارایی‌های سرقت‌شده، اجرای این مرحله ممکن است چالش‌برانگیز باشد.

گروه لازاروس کره شمالی پیچیده‌ترین و مجهزترین گروه پول‌شویی دارایی‌های دیجیتال است که دائماً تکنیک‌های خود را برای فرار از شناسایی و توقیف اموال سرقت‌شده به‌روزرسانی می‌کند.