تم فك لغز سرقة $400 مليون من مجال العملات الرقمية الخاص بـ FTX: الكشف عن حلقة تبديل بطاقة SIM

الرؤى الرئيسية

• تم توجيه الاتهام لثلاثة أفراد (روبرت باول وكارتر روهين وإميلي هيرنانديز) بتدبير عملية سرقة هوية متطورة من خلال تبديل بطاقات SIM، والتي نجحت في سرقة $400 مليون من FTX خلال انهيارها في نوفمبر 2022.
• استغل المهاجمون ثغرات المصادقة الخلوية لاعتراض رموز 2FA، مما أتاح لهم الوصول غير المصرح به إلى محافظ العملات المشفرة الخاصة بـ FTX خلال فوضى تقديم الإفلاس الخاصة بالبورصة.
• التحليل الفني يكشف أن الهجوم استخدم الهندسة الاجتماعية ضد بروتوكولات أمان حساب AT&T، مما يبرز نقاط الضعف الحرجة في أنظمة التوثيق المعتمدة على الهاتف.
• تتبعت شركة التحليل الجنائي للبلوكشين Elliptic حوالي $300 مليون من الإيثر المسروق الذي يتم غسله من خلال شبكات الجريمة المرتبطة بروسيا بعد تحويله إلى بيتكوين.

عملية تبديل SIM المعقدة

بعد ما يقرب من عام من التكهنات حول سرقة العملات المشفرة FTX، وجه مسؤولو وزارة العدل الأمريكية تهمًا لثلاثة أفراد - روبرت باول، كارتر رون، وإميلي هيرنانديز - بتنفيذ عملية السرقة التي بلغت قيمتها $400 مليون. عمل الثلاثة ضمن شبكة واسعة من تبديل الشرائح الهواتف المحمولة التي استهدفت العشرات من الأهداف عالية القيمة على مدار عامين، مما culminated في هجوم FTX.

كانت منهجيتهم تتضمن إنشاء وثائق تعريف مزيفة متطورة لتقمص ضحايا وإقناع شركات الهاتف بنقل أرقام الهواتف إلى بطاقات SIM التي يسيطر عليها المهاجمون. كانت هذه التقنية فعالة في تجاوز أنظمة المصادقة متعددة العوامل التي تعتمد على SMS أو التحقق عبر الهاتف - وهي ثغرة أمنية لا تزال منتشرة في نظام العملات المشفرة.

أظهرت عمليات المجموعة تصاعدًا تدريجيًا في قيمة الهدف والتعقيد الفني. في الأسابيع التي سبقت هجوم FTX، نفذوا بنجاح سرقات أصغر ولكنها مهمة، حيث سرقوا حوالي 300,000 دولار من العملات المشفرة من ضحية واحدة وأكثر من $1 مليون من ضحية أخرى، مما ساعدهم في تحسين تقنياتهم قبل الهجوم الرئيسي.

التوقيت المثالي: الضرب خلال فوضى الإفلاس

ما يجعل هذه الحالة ملحوظة بشكل خاص بين عمليات السطو الكبرى على العملات المشفرة هو التوقيت الاستراتيجي للمهاجمين. استهدفت المجموعة عمدًا موظفًا في FTX في 11 نوفمبر 2022 - في اليوم المحدد الذي قدمت فيه البورصة طلب الحماية من الإفلاس وسط انهيارها الكارثي.

حدد باول، الذي تم التعرف عليه كقائد العملية، مساعديه لتنفيذ تبادل SIM ضد حساب AT&T الخلوي لموظف معين في FTX. تشير هذه الاستهداف الدقيق إلى أن المهاجمين قد قاموا بإجراء استطلاع شامل لتحديد الأفراد المهمين الذين لديهم وصول إلى محافظ البورصة.

بفضل الوصول إلى رموز المصادقة الخاصة بالموظف، قام المهاجمون بشكل منهجي بسحب أكثر من $400 مليون من العملات المشفرة المختلفة في غضون ساعات، حيث تم نقل الأصول إلى محافظ تحت سيطرتهم. كان التوقيت متناسقًا بدقة مع الفوضى التنظيمية لشركة FTX لدرجة أن العديد من محللي الصناعة شككوا في البداية في حدوث عمل داخلي بدلاً من اختراق خارجي.

التحليل الفني لسلسلة الهجمات

استغل متجه الهجوم ضعفًا أمنيًا أساسيًا في العديد من أنظمة تخزين العملات الرقمية - الاعتماد على المصادقة المعتمدة على الهاتف كآلية لاستعادة أو التحقق. تضمنت التنفيذ الفني:

1. الاختراق الأولي: الهندسة الاجتماعية لخدمة عملاء AT&T لتنفيذ تبديل SIM
2. تجاوز المصادقة: اعتراض كلمات المرور لمرة واحدة ورموز التحقق المرسلة إلى رقم الهاتف المخترق
3. تصعيد الوصول: استخدام الأكواد المعترضة لإعادة تعيين بيانات الاعتماد أو تفويض المعاملات ذات القيمة العالية
4. التسريب السريع: نقل الأصول عبر عدة محافظ لتعقيد عملية التتبع

توضح هذه الطريقة لماذا يحذر خبراء الأمن باستمرار من استخدام المصادقة الثنائية المستندة إلى الرسائل القصيرة لتأمين الأصول المشفرة عالية القيمة. توفر مفاتيح الأمان الصلبة وآليات التوقيع غير المتصلة حماية أقوى بكثير ضد هذا النوع من الهجمات.

تتبع الأموال: تتبع الأصول المسروقة

بينما أدت الاعتقالات إلى حل مسألة من نفذ السرقة، لا تزال رحلة الأموال المسروقة غامضة جزئيًا. أفادت شركة إليبتك للاستخبارات blockchain في أكتوبر أن حوالي $300 مليون من الإيثر المسروق قد تم تحويله إلى بيتكوين، وتم توجيهه بعد ذلك من خلال عمليات غسيل الأموال المرتبطة بروسيا.

تتوافق هذه النمط مع الاتجاهات التي لوحظت في عمليات السرقة الكبرى للعملات المشفرة الأخرى، حيث تتحرك الأصول المسروقة عادةً عبر نقاط تحويل متعددة وخدمات خلط قبل الدخول إلى الأنظمة المالية التقليدية أو تحويلها إلى عملات مشفرة تركز على الخصوصية.

تقدم الطبيعة الدولية لعمليات غسيل الأموال هذه تحديات كبيرة لجهود استرداد الأصول. ومع ذلك، فإن شفافية معاملات البلوكتشين قد مكنت المحققين من تتبع أجزاء كبيرة من الأموال المسروقة، مما قد يؤدي إلى اتخاذ إجراءات إنفاذ إضافية ضد شبكات الغسيل.

الآثار المترتبة على ممارسات أمان التبادل

تسلط هذه الحالة الضوء على الثغرات الحرجة التي لا تزال تؤثر حتى على المنظمات المتقدمة في مجال العملات المشفرة. إن النجاح في استغلال أنظمة المصادقة المعتمدة على الهاتف يظهر أن التدابير الأمنية التقنية يمكن أن تتعرض للتقويض من خلال هجمات الهندسة الاجتماعية ضد مقدمي الخدمات من الأطراف الثالثة.

بالنسبة لحاملي العملات المشفرة ومنصات التداول، تُعزز هذه الحادثة عدة دروس أمان حاسمة:

• تمثل المصادقة المعتمدة على الهاتف ثغرة أمنية كبيرة
• تتطلب ضوابط وصول الموظفين مراقبة وتحقق مستمرين
• فترات الأزمات مثل حالات الإفلاس تخلق بيئات أمان عالية المخاطر بشكل خاص
• تحتاج الاعتمادات الخاصة بالمصادقة عبر الأنظمة الأساسية إلى تدقيقات أمنية شاملة

تستمر صناعة العملات المشفرة في تطوير ممارساتها الأمنية استجابةً للهجمات المتزايدة التعقيد. تمثل وحدات الأمان المادية، وأنظمة التفويض متعددة التوقيع، والمراقبة السلوكية المتقدمة أحدث الدفاعات ضد محاولات الاستغلال المماثلة.

بينما تواصل الجهات القانونية التحقيق في مسار الأموال، من المحتمل أن تكشف هذه القضية عن رؤى إضافية حول كل من الثغرات التقنية التي تم استغلالها والشبكات المالية التي تسهل عمليات غسيل العملات المشفرة.