اتهم مكتب التحقيقات الفيدرالي (FBI)، كوريا الشمالية بالوقوف وراء سرقة 1.5 مليار دولار من الأصول الرقمية التابعة لمنصة تداول العملات المشفرة ByBit.
وأشار FBI إلى أن هذه العملية تندرج ضمن نشاط “TraderTraitor”، وهو الاسم الذي يطلقه على هذه الهجمات السيبرانية التي تنفذها كوريا الشمالية.
و حذر FBI في بيان: “يعمل منفذو TraderTraitor بسرعة، حيث قاموا بتحويل جزء من الأصول المسروقة إلى بيتكوين وأصول رقمية أخرى، موزعة عبر آلاف العناوين على عدة شبكات بلوكشين”.
وأضاف أن من المتوقع أن يتم غسل هذه الأصول وتحويلها لاحقًا إلى عملات نقدية تقليدية.
نشأ الاختراق أثناء تحويل روتيني لأكثر من 401 ألف ايثيروم (1.4 مليار دولار) من محفظة باردة إلى محفظة متصلة بالإنترنت في 21 فبراير 2025.
وتمكن المهاجمون من باختراق جهاز مطور مرتبط بالمحفظة، عن طريق حقن كود JavaScript ضار أدى إلى تغيير واجهة المعاملة المرئية لمشغلي Bybit.
بينما رأى المستخدمون تفاصيل نقل مشروعة، تم استبدال منطق العقد الذكي الأساسي بتطبيق تسيطر عليه كوريا الشمالية، مما يتيح عمليات نقل الأصول غير المصرح بها.
استغل هذا الخداع اعتماد Gnosis Safe على التوقيعات المولدة خارجيًا بدلاً من آليات التصويت على السلسلة.
وقام المهاجمون بتشغيل وظيفة DelegateCall التي نقلت التحكم في المحفظة إلى العناوين التي تديرها كوريا الشمالية.
لم يتطلب الهجوم أي ثغرات أمنية في العقود الذكية، وبدلاً من ذلك، استفاد من ثقة الإنسان في واجهة المستخدم والثغرات الإجرائية في التحقق من صحة المعاملات.