ملخص طويل
لقد صدمتني وذهلت وأصبت بالإحباط من مدى سهولة تحريف المفاهيم في القرن الحادي والعشرين. إن اختراق Bybit هو نتيجة بنسبة 99% لإهمال فريق CEX و1% فقط لمهارة المتسللين.
ومع ذلك، فقد قلبت وسائل الإعلام الرواية: فقد أكدت أن الهجوم نفذته جماعة لعازر، على الرغم من عدم وجود دليل ملموس (باستثناء ادعاءات غير مؤكدة من قبل zachxbt وArham).
فيما يلي، أعرض وجهة نظري المبنية على الحقائق للحفاظ عليها، لأن هذه الحادثة سوف تبقى بلا شك في التاريخ.
الحقيقة رقم 1: لم يكن هناك أي اختراق
إذا ميزنا بوضوح بين الاختراق والهندسة الاجتماعية والهجوم المستهدف ، فسوف يتضح أنه لم يحدث اختراق فعلي. دعني أقتبس :
"لم يكن هناك أي استغلال للكود. ولم يتم تسريب أي مفاتيح خاصة. وقد وافق موقِّعو التوقيعات المتعددة التابعون لشركة Bybit على المعاملات. لقد اعتقدوا أنهم يوقعون على تحويل روتيني. ولكن بدلاً من ذلك، كانوا يسلمون محفظتهم الباردة بالكامل."
فماذا حدث حقا؟
- كان فريق الأمن التابع لشركة Bybit غير كفء .
- لقد تجاهلوا الهجوم المشع ، الذي كان له متجهات هجوم متطابقة.
- حاولوا إلقاء اللوم على شركة Safe والشركات الأخرى و"المتسللين الأشرار".
لقد ركزت Arkham و Bybit على النقطة الثالثة لدرجة أنهما فشلا في تقديم أي دليل حقيقي.
الحقيقة رقم 2: التصور يحل محل الواقع
على الفور تقريبًا، أصدر Arkham متعقبًا مرئيًا يعرض جميع المعاملات المتعلقة بـ "الاختراق": Arkham Explorer .
المشكلة؟ هذا التصور يصرف الانتباه عن القضية الحقيقية:
- ارتكبت شركة Bybit ثلاثة أخطاء لا تُغتفر، مما يعني أن عمليات اختراق مماثلة ربما حدثت من قبل، ولكن على نطاق أصغر.
- ومن دون مقارنة الأحداث الماضية، لا يمكننا أن نفهم بشكل كامل نطاق القضية.
الحقيقة رقم 3: لعازر هو كبش فداء مناسب
فكر في الأمر:
- فشل الرئيس التنفيذي (الذي هو الموقع النهائي) في التحقق من المعاملات.
- فريق الأمن إما غير موجود أو غير فعال على الإطلاق.
- لقد حدث هجوم مماثل بالفعل، وتجاهلوا العلامات التحذيرية.
- والآن يلقون اللوم كله على لعازر؟
هل يهم حقًا من هو الموجود على "الجانب المظلم" في هذه الحالة؟ قد لا تكون الإجابة واضحة، ولكن لا، ليس الأمر كذلك.
النقاط الأولية
يشيد الكثيرون بشركة Bybit لعدم "منعها لعمليات السحب"، لكن هذا ليس عملاً من أعمال حسن النية، بل هو التزام من جانبهم. الأموال في بورصة CEX مملوكة للمستخدمين، وليس للبورصة.
وفي الوقت نفسه، قامت شركة Bybit بتحويل اللوم بذكاء إلى شركة Safe، مما أجبرها على إصدار بيان عام يوضح أنه لم يتم اكتشاف أي ثغرات: بيان Safe .
وبعد ذلك، استحوذت شركة بايبيت على رواية لعازر، وأعلنت عن خطط لإشراك سلطات إنفاذ القانون ــ في حين أغفلت بشكل ملائم حقيقة مفادها أن التحقيق الأول ينبغي أن يركز على إهمالها الداخلي.
حجتي
أجد الأمر مثيرًا للريبة في مدى السرعة التي تم بها إدخال مجموعة لعازر في هذه القصة. إما:
- كيان متطور للغاية يعمل دون أي أخطاء دون ترك أي أثر.
- أو مجموعة "يراها الجميع ويعرفونها"، ومع ذلك فإنها تستمر بطريقة أو بأخرى في العمل بسرية.
ويبدو السيناريو الثاني غير محتمل إلى حد كبير.
ولكن الأهم من ذلك، دعونا نكون صادقين:
- تتحمل شركة Bybit مسؤولية هذا "الاختراق" بنسبة 99% بسبب فشلها في الحفاظ على الأمن الداخلي والخارجي ورفضها التعلم من الهجمات السابقة.
- اتهمت شركة Bybit بشكل خاطئ شركات Web3 الأخرى في هذا الهجوم دون تقديم أي دليل.
- تستمر شركة Bybit في تشويه الحقائق، وتصوير هذا الأمر على أنه عملية اختراق وليس إهمالًا محضًا.
لا أستخدم Bybit أو أي منصة CEX أخرى لأنني أعتقد أن اللامركزية هي أفضل أشكال الأمان. لكنني أرفض أيضًا السماح لوسائل الإعلام بإنشاء رواية زائفة - حيث تكون Bybit هي الضحية ، وخدمات Web3 هي المسؤولة، و"المتسللون الأشرار" هم الجناة الوحيدون.
إن شركة بايبت هي الطرف الوحيد الذي ثبتت إدانته في هذه الحادثة. ولا يزال دور كل الأطراف الأخرى في هذه الحادثة بحاجة إلى إثبات أو فضح.
(وتذكر أيضًا أن Mt.Gox تحدث كثيرًا ولكنه لم يقدم أي شيء جوهري على الإطلاق).