2 trilyon wonluk Bybit hack’i: Operasyonel güvenlik başarısızlıkları çağı başladı

 (blog.trailofbits.com)
3 puan yazan GN⁺ 2025-02-23 | 1 yorum | WhatsApp'ta paylaş
  • 21 Şubat 2025’te Bybit borsasında multisig cold wallet hacklenerek yaklaşık 1,5 milyar dolar değerinde kripto para çalındı
  • Saldırganlar çoklu imzacının cihazlarını ele geçirerek, cüzdan arayüzünde imzacıların gördüğü içeriği manipüle etti
  • İmzacıları normal bir işlem yaptıklarını sanırken saldırganların istediği imza verisini sağlamış oldu
  • Bu durum, merkezi kripto borsalarına yönelik son saldırıların artık kod açıklarından çok operasyonel ve insani güvenlik zafiyetlerini hedef alma yönünde değiştiğini gösteriyor

Son dönemdeki benzer hack vakaları

  • WazirX borsası (Temmuz 2024): 230 milyon dolar kayıp
  • Radiant Capital (Ekim 2024): 50 milyon dolar kayıp
  • Bybit borsası (Şubat 2025): 1,5 milyar dolar kayıp

Kuzey Kore bağlantılı hack grubu ilişkisi

  • Arkham Intelligence ve ZachXBT analizlerine göre bu saldırının Kuzey Koreli bir hacker grubuyla bağlantılı olduğu doğrulandı
  • Kuzey Kore’nin Reconnaissance General Bureau (RGB) bünyesindeki TraderTraitor, Jade Sleet, UNC4899, Slow Pisces gibi devlet destekli hacker grupları olaya karıştı
  • RGB hacker gruplarının saldırı yöntemi
    • Sosyal mühendislik kampanyaları ile sistem yöneticileri, geliştiriciler ve finans ekibi çalışanlarını hedef alıyorlar
    • Özelleştirilmiş işe alım dolandırıcılığı ve phishing saldırılarıyla kritik personeli enfekte ediyorlar
    • Çok platformlu kötü amaçlı yazılımlarla Windows, MacOS ve çeşitli kripto cüzdanlarını enfekte ediyorlar
    • Kullanıcının gördüğü işlem ekranını manipüle ederek imza vermesini sağlıyorlar

Mevcut güvenlik sistemleri neden etkisiz kalıyor?

  • Saldırganlar, tekrar eden operasyonlarla araçlarını ve tekniklerini sürekli geliştiriyor
  • Yaygın güvenlik önlemlerinin savunmada yetersiz kalmasının nedenleri:
    • Operasyonel güvenliği zayıf olan kuruluşlar büyük risk altında
    • Çoklu imza sistemleri bile manipüle edilebiliyor
    • Geleneksel güvenlik çözümleriyle (EDR, güvenlik duvarı vb.) tespiti zor saldırı teknikleri kullanılıyor

Kripto güvenliğinde yeni gerçeklik

  • Yalnızca mevcut smart contract güvenliğini güçlendirmek artık yeterli değil
  • En büyük tehdit unsuru operasyonel güvenlik başarısızlıkları haline geldi
  • Şirketler, hacklenmenin mümkün olduğu varsayımıyla güvenlik stratejisi kurmak zorunda

Şirketlerin mutlaka uygulaması gereken güvenlik stratejileri

  • Altyapı ayrıştırması
    • İşlem imzalama sistemleri, genel operasyon ağından fiziksel ve mantıksal olarak ayrılmalı
    • Özel donanım ve ağlar ile sıkı erişim kontrolleri uygulanmalı
  • Katmanlı savunma (Defense-in-Depth)
    • Donanım cüzdanları, çoklu imza ve işlem doğrulama araçları birleştirilerek bileşik bir güvenlik sistemi kurulmalı
    • Tek bir önlem değil, üst üste binen güvenlik katmanları şart
  • Kurumsal ölçekte hazırlık önlemleri
    • Operasyonel ve teknik tehdit modellemesi yapılmalı
    • Dış güvenlik denetimleri ve değerlendirmeleri düzenli olarak yürütülmeli
    • Güvenlik eğitimleri ve hack müdahale simülasyonları periyodik olarak yapılmalı
    • Somut bir olay müdahale planı hazırlanmalı ve düzenli test edilmeli

Trail of Bits’in güvenlik rehberi

Sonuç: Eski güvenlik anlayışıyla artık savunma mümkün değil

  • Bybit hack’i, kripto güvenliğinin yeni bir evreye girdiğini gösteriyor

  • Operasyonel güvenlik güçlendirilmeden büyük çaplı hack’lerden kaçınmak mümkün değil

  • Güvenlik araştırmacısı Tayvano’nun sert çıkışı mevcut durumu çarpıcı biçimde özetliyor:

    > "Bir cihaz bir kez enfekte olduğunda oyun biter. Anahtar hot wallet’ta ya da AWS’deyse hemen hacklenir. Anahtar cold wallet’ta olsa bile saldırgan sadece biraz daha fazla uğraşır. Sonunda yine de hackleneceksiniz."

Şirketlerin hemen atması gereken adımlar

  • Operasyonel güvenlik risk değerlendirmesi yapın
  • Air-Gapped imzalama altyapısını devreye alın
  • Devlet destekli hacker gruplarına karşı deneyimli güvenlik ekipleriyle çalışın
  • Olay müdahale planı hazırlayın ve düzenli olarak test edin

> "Bir sonraki 1 milyar dolarlık hack sadece zaman meselesi; hazırlık yoksa kayıp kaçınılmaz"

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-23
Hacker News görüşleri

  • Son ilgili olay: Bybit, hack sonucu 1,5 milyar dolar kaybetti

    • Saldırganlar, çoklu imzalı cold storage cüzdanından yaklaşık 1,5 milyar dolar çaldı
    • Saldırganlar birden fazla imzacının cihazını ele geçirdi ve imzacıların cüzdan arayüzünde gördüklerini manipüle ederek, imzacılar rutin bir işlem yaptıklarını sanırken gerekli imzaları topladı

  • Hacker'lar uzaktan erişimle 'imzacıların cüzdan arayüzünde gördüklerini manipüle' edebiliyorsa, bu cold storage gibi görünmüyor

  • Çoklu imza etkileşimlerinde hack'lenmenin üç yolu var:

    • Çoklu imza smart contract'ı ele geçirilir
    • İmzalama yapan bilgisayar ele geçirilir
    • Kullanılan hardware wallet (Ledger, Trezor) ele geçirilir

  • Gnosis Safe adlı çoklu imza sözleşmesinin oldukça sağlam olduğu görüldü ve hardware wallet'lara saldırmak çok zor. Şu anki zayıf halka bilgisayarlar

  • Kripto şirketleri, imzalama için daha kilitli özel cihazlara geçerek ve hardware wallet ekranında gösterileni gerçekten doğrulayarak bu sorunu çözmeli

  • Çevrimiçi güvenlik dünyası son derece kaotik. Mühendisliğin diğer alanlarında, yabancı bir devlet tarafından yapılanları açıkça hedef almak neredeyse hiç yok

    • Örneğin yüksek binalar sürekli bombardımana dayanacak şekilde tasarlanmaz
    • Arabalar da tank mermilerine dayanacak şekilde tasarlanmaz
    • Kuzey Kore insanları füzelerle öldürse veya küçük binaları yıksa, kamuoyunda öfke ve hızlı bir askerî karşılık olurdu

  • Ancak çevrimiçinde durum farklı. Kuzey Kore sistemlere istediği gibi saldırabiliyor ve temel tepki "Daha güvenli sistemler kurmalıydınız" oluyor

    • Bybit tarafı daha dikkatli olabilirdi, ama çevrimiçi ortamın ne kadar kaotik olduğunu kabul etmek gerekiyor

  • Bu gönderide hack'in nasıl gerçekleştiğine dair yeterli ayrıntı yok

    • Araçlardan bahsedilmesine bakınca, insanların kötü amaçlı yazılım indirip çalıştırmaları için kandırıldığını anlamak doğru mu diye merak ediyorum

  • Saldırganlar birden fazla imzacının cihazını ele geçirdi ve imzacıların cüzdan arayüzünde gördüklerini manipüle ederek, imzacılar rutin bir işlem yaptıklarını sanırken gerekli imzaları topladı

    • Kaç imzacı olduğunu bilen var mı merak ediyorum

  • Kripto hakkında neredeyse hiçbir şey bilmeyen biri olarak ciddi bir soru: Bu saldırıda parayı fiilen kim kaybetti? Çok sayıda birey mi?

  • 9 yıl önce 50 milyon dolar çalındığında ETH'nin hard fork yaptığını hatırlıyorum

  • Benim anladığım kadarıyla bu çoklu imza, çoğu güvenlik sisteminde olduğu gibi herkesin sadece "evet"e basıp iletişim kurmaması, incelememesi veya soru sormaması nedeniyle başarısız oldu. Bu da çoklu imzanın amacını anlamsızlaştırıyor

  • Bunları neden birden fazla ayrı cüzdana bölmediklerini gerçekten anlayamıyorum