Bybit, hack sonucu 1,5 milyar dolar (2,1 trilyon won) kaybetti; CEO: "Zararı karşılayabiliriz"

 (tradingview.com)
1 puan yazan GN⁺ 2025-02-23 | 2 yorum | WhatsApp'ta paylaş
  • Kripto para borsası Bybit, yaklaşık 1,46 milyar dolar tutarında "şüpheli çıkış" yaşadı
  • Söz konusu cüzdan, 401.346 ETH'yi (yaklaşık 1,1 milyar dolar) ve stETH (staked ETH) dahil varlıkları yeni bir cüzdana aktardı
  • Yeni cüzdan şu anda mETH ve stETH'yi merkeziyetsiz borsalarda tasfiye ediyor ve şu ana kadar yaklaşık 200 milyon dolar değerinde stETH sattığı doğrulandı
  • Bybit CEO'su Ben Zhou, X üzerinden "belirli bir ETH soğuk cüzdanının hacker tarafından ele geçirildiğini ve tüm ETH'nin aktarıldığını" açıkladı
    • Ancak, "diğer soğuk cüzdanlar güvende ve tüm para çekme işlemleri normal şekilde sürüyor" diye ekledi
  • 1,46 milyar dolarlık kayıp, kripto para tarihindeki en büyük hack olayı olarak kayda geçebilir
    • Geçmişteki büyük hack vakalarıyla karşılaştırma:
      • Mt. Gox hack'i (2014): 470 milyon dolar kayıp
      • CoinCheck hack'i (2018): 530 milyon dolar kayıp
      • Ronin Bridge hack'i (2022): 650 milyon dolar kayıp
    • Hack haberinin ardından Bitcoin (BTC) %1,5, Ethereum (ETH) ise %2'nin üzerinde düştü

Bybit CEO'sunun resmi açıklaması ve yorumlardaki ek açıklamalar

  • Bybit CEO'su X'te, ETH multisig soğuk cüzdanının sıcak cüzdana transfer işlemi gerçekleştirdiğini açıkladı
    • Ancak bu belirli işlem "masked" hale getirilmişti ve imzacıların gördüğü arayüzde doğru adres gösteriliyordu
    • URL de güvenli imza hizmeti @safe (https://safe.global/wallet) olarak görünüyordu
    • Ancak gerçekte imzalanan mesaj, ETH soğuk cüzdanının akıllı sözleşme mantığını değiştirmeye yönelikti; sonuç olarak hacker soğuk cüzdanın kontrolünü ele geçirip tüm ETH'yi aktardı
  • Donanım cüzdanlarının çoğu EVM akıllı sözleşme işlemlerini yorumlayamaz
    • Donanım cüzdanları "blind signing" yöntemini kullanır ve imzacının ekranda gördüğü içerikle gerçekte imzaladığı ikili verinin eşleştiğini varsayar
    • CEO'ya göre doğru URL kontrol edildi ve birden fazla imzacı farklı konumlardan, farklı cihazlarla imza attı
    • Buna rağmen tüm imzacıların arayüzü manipüle edilmişti; bu da son derece sofistike bir saldırıya işaret ediyor
  • Olası saldırı yöntemlerine dair tahminler
    • İmza bağlantısının değiştirilmesi
      • İmza bağlantısı iletim sırasında değiştirilmiş ve IDN homograph domain kullanan bir phishing sayfasına yönlendirmiş olabilir
      • Ya da gerçek safe.global sitesi script injection saldırısına açık olduğundan manipüle edilmiş bir arayüz sunmuş olabilir
    • Sunucu taraflı saldırı
      • Bybit'in sunucuları hack'lenmiş ve imzacılara manipüle edilmiş sayfalar gösterilmiş olabilir
    • İstemci taraflı saldırı
      • Zararlı yazılımın imzacıların tarayıcılarına yerleştirilerek arayüzü manipüle etmiş olabileceği düşünülüyor
    • Ağ/DNS saldırısı
      • DNS hijacking veya hatalı düzenlenmiş TLS sertifikaları kullanılarak kullanıcılar sahte siteye yönlendirilmiş olabilir
  • Sonuç: sofistike ve uzun soluklu bir saldırı ihtimali
    • Bu hack'in, Bybit'in iç sistemlerini uzun süre izleyip süreçleri analiz ettikten sonra gerçekleştirilmiş gibi göründüğü belirtiliyor
    • Basit bir phishing saldırısından ziyade, kurum içi imza sürecini tam olarak anlayıp buna özel bir saldırı yürütüldüğüne dair işaretler var
    • İleride resmi bir hack analiz raporu yayımlanırsa saldırı yönteminin daha ayrıntılı şekilde ortaya çıkması bekleniyor

İlgili okumalar

2 yorum

 
GN⁺ 2025-02-23
Hacker News görüşleri
  • Trail of Bits blogunda bu olaydaki güvenlik zafiyetine dair ilgili bilgiler var
  • İki makalede bilgi ve tahminler var, ancak teknik ayrıntıları bilmek istiyorum
    • Örneğin istemci yazılımının ele geçirilip geçirilmediğini, multisig anahtar sahiplerinin sosyal mühendisliğe yenik düşüp düşmediğini, imzacıların air-gapped makineler veya donanım cihazları kullanıp kullanmadığını merak ediyorum
  • Bybit'nin 1,5 milyar dolarlık kaybı nasıl karşılayabileceği merak konusu
    • Gerçekten o kadar kârları mı var, yoksa bunu MtGox tarzı bir yöntemle mi çözmeye çalışıyorlar diye düşünüyorum
  • Kripto para borsalarının nasıl çalıştığını bilmiyorum
    • Birinin bunu basitçe açıklayıp açıklayamayacağını merak ediyorum
    • Cold storage cüzdanında kullanıcıların ETH'lerinin bulunup bulunmadığını merak ediyorum
    • Eğer öyleyse, kripto para borsalarının neden kullanıcı onayı olmadan işlem yapabilen bir cüzdanda kullanıcıların ETH'lerini tuttuğunu sorguluyorum
    • Genel olarak, bir borsayı işletmek için neden bu kadar büyük bir cold storage cüzdanına ihtiyaç duyulduğunu merak ediyorum
    • Bu zararı karşılayabilecek varlıklara nasıl sahip olduklarını merak ediyorum
  • Bybit hakkında başka bilgiler de var
    • Bybit Kanada'da yasal değil
    • Bybit Singapur'da başladı ve Singapur kripto para ile blockchain teknolojisinin küresel merkezlerinden biri
    • Bybit'nin güvenli olduğunu söyleyen bilgilerle güvenli olmadığını söyleyen bilgiler birbirine karışmış durumda
  • Bir borsaya bağlıysa cold wallet değildir
  • "Nihai işlem" gibi bir şey olmalı; ilk işlem madencilikten sonra hem gönderici hem de alıcı bunu imzalamalı
    • İmzalanmazsa fonlar iade edilir
    • Bu, anahtar sızıntısını engellemez ama yanlış adrese gönderimi önleyebilir
  • Kripto paraya inanıyorum, ancak 1,5 milyar doların hiçbir uyarı olmadan başka bir hesaba taşınabildiği bir sistem ciddi değil
  • Bybit'nin gerçekte ne olduğunu açıklayabilecek biri var mı diye merak ediyorum
    • Hack'in duyurulduğu sırada arattım ama kafam karıştı
    • Bilgilerin çoğu bunun "dolandırıcılık" olduğunu söylüyor
  • "Diğer tüm cold wallet'lar güvende, içiniz rahat olsun" deniyor
    • Buna inanmak zor
  • Kripto para borsası WazirX yaklaşık 300 milyon dolar hacklendi
    • 2024 Temmuz'undaki hack'ten sonra CEO hakkında herhangi bir işlem yapılmadı
    • Kendisi Dubai'de ve Singapur Yüksek Mahkemesi'nden fonların ortalaması alınarak kullanıcılara dağıtılması yönünde onay aldı
    • Şirket/CEO hakkında hiçbir işlem yok ve başka bir şirket/borsa başlatmaya hazırlanıyor