Bybit'тин хакталган себеби: түндүк кореялык хакерлер криптобиржадан 1.4 миллиард долларды уурдап кетишти

Bybit криптобиржасына кандайча кол салынды?

Жума күнү кечинде Bybit биржасы чоң хакердик кол салууга кабылганы тууралуу маалымат пайда болду. Алаяктар платформанын бир капшыгын колго алышты, аны башкы директору Бен Чжоу тастыктады.

Бир саат мурун биздин «инин» капчыгыбыздан көп кол коюучулук бар капшыктан ETH которулду. Бул транзакция жашыруун түрдө жүргүзүлдү: бардык кол коюучулар туура даректи көрүштү, ал эми URL Safe'тан болду. Бирок кол коюлуш керек болгон билдирүү биздин ETH капчыгыбыздын смарт-контракт логикасын өзгөрттү. Натыйжада, жамандыкка кызыккан тарап капчыктын үстүнөн контрольду алып, бардык ETH’ди белгисиз дарекке чыгарып жиберди. Калган бардык жаднали капчыктар коопсуз, жана чыгымдар кадимкидей иштеп жатат.

Бир гана адреске кол салгандан кийин Bybit’тин зыяндары 1.4 миллиард долларга жетти, бул эфириумдар жана stETH, cmETH жана mETH сыяктуу токендерди камтыйт. Бул кол салуу борборлоштурулган криптобиржалардын тарыхындагы эң чоңу болуп калды.

Атакуу түндүк кореялык Lazarus хакердик тобу тарабынан жасалды, аларды өлкөнүн бийлиги финансылык жактан колдойт деп болжолдонууда. Бул зыяндын масштабын гана эмес, кол салуунун татаалдыгын да түшүндүрөт, анткени колдонуучулардын активдеринин маанилүү бөлүгүн камтыган суук сактагычтар сыноо болуп калды.

Bybit командасынан алынган маалыматтар боюнча, алар көп кол коюучулукка ээ капчыктан «инин» капчыгына кадимки которулууда аномалияны байкашкан.
Көп кол коюучулук капчыктар, белгиленген даректен транзакцияларды жүргүзүү үчүн бир нече колдорду талап кылат, бул биржалардагы жана ири оюнчулардагы активдердин коопсуздугун камсыздайт. Бирок хакерлерге ийгиликтүү кол салуу үчүн бул даректерди билүүдөн сырткары, алар ар бир құрылгыны саймалоо керек болду.

Кечирим сурайбыз, бул жолу алаяктар ар кандай жол менен ийгиликтүү болдук, анткени бул чоң компаниялардын активдери жана кардарларынын акчаларын коргоо жөндөмүнө айтылат. The Block жарыялаган басмада мындай деп айтылат.

Транзакция татаал кол салуунун натыйжасында өзгөртүлдү, ал кол коюу интерфейсин жашырып, смарт-контракттын логикасын өзгөртүп, злокачество тарапка ETH суук капчыгына контроль алууга мүмкүнчүлүк берди. Нативде 400 миңден ашык ETH жана stETH 1.5 миллиард доллардан ашык суммада белгисиз дарекке которулду.

Лазарус Групп хакерлеринин мүчөлөрү, аларды ФБР издеп жатат
Операция аяктаган соң, Лазарус Групп хакерлери уурдалган активдерди үч негизги капчыкты бөлүштүрүп, кийин криптовалютаны ондон ашык башка даректерге жиберишти. Жалпысынан 401 347 ETH 1.12 миллиард доллар, 90 376 stETH 253.16 миллион доллар, 15 миң cmETH 44.13 миллион доллар жана 8 миң mETH 23 миллион доллар болгон суммада которулду. Көптөгөн токендер андан кийин децентрализованное биржалар аркылуу эфириумга айландырылды.

Bybit командасы азыр хактоо себептерин изилдөөгө күндөлүк берүүгө, атайын Safe{Wallet}’теги мүмкүнчүлүктөргө көңүл бурууда. Бул кастодиалдык эмес көп кол коюучу капчыкты көптөгөн биржалар жана ири оюнчулар кардарларынын активдерин коргоо үчүн колдонушат.

Bybit'тин хакталган себеби кимде?

Bybit коопсуздук кызматы Safe платформасы транзакция жүргүзүлүп жатканда хакталган болушу мүмкүн деп болжолдоодо, жана биржадагы жетекчи бул долбоордун өкүлдөрү менен байланышууга ниет көрсөттү. Safe бул учурда өз экономикалык териштирүүсүн жүргүзүп жатканын тастыктады.
Ошол эле учурда, алар Safe{Wallet}’те коопсуздук деңгээлин жогорулатуу үчүн кээ бир функциялар өчүрүлгөнүн белгилешти.

Биз коопсуздук алкагында подробносторуна кирбейт. Биз Safe'тун расмий интерфейси компромисс болуучу изилдөө жүргүзгөн жокпуз. Териштирүү уланууда, биринчи баалар боюнча мындай мүмкүнчүлүк өтө аз. Коопсуздук боюнча пикирге ETHSecurity коомчулугунун ETH Security командалары да кошулду.

Bybit криптобиржасынын жетекчиси Бен Чжоу
Эфириум аймагындагы адистер Safe капчыгынын коопсуз калуусуна шек жок. Алардын айтымында, Лазарус хакерлери кандайдыр бир жол менен Bybit'тин көп кол коюу үчүн колдонулуп жаткан аппараттарын жугузуп алышы мүмкүн.

MetaMask коопсуздук кызматынын жетекчиси Тейлор Мойнахан, SEAL 911 акча-чон хакерлер командасы болгон окуяны изилдеп, кибер коопсуздугун жакшыртууга аракет кылып жатышты.

SEAL Safe командасы менен тыгыз кызматташады. Алардын инфратүзүмүнүн компромисс болушун көрсөткөн белгилерди көрбөйбүз, бирок аны кылдат текшерип жатабыз.

Анонимдүү Эфириум коопсуздук протоколунун негиздөөчүсү Одиус Оди сдесь, жамантыкка түрткөн сценарийдин мүмкүнчүлүгүн тастыктады. Анын комментарийи мындай.

Мүмкин, себеп инфекция болгон аппарат, анда жамандыкка кызыккан тарап Safe'тун фальш страницасын түзүүгө мүмкүнчүлүк тапкан, бул кызматкерлерди туура эмес транзакцияны кол коюуга мажбурлайт. Анан хакерлер аппараттык капчыктар кол коюлат деген фактыны пайдалана алышат, анткени анын ордуна гана кол коюу хэшин көрсөтөт.

Ошентип, хакерлер кандайдыр бир жол менен Bybit кол қоюучуларына же билдирүүгө ыңгайлашкан интерфейсти көрсөтүп, жамандыкка кызыккан тарапка шайманга жатпай тургандыгын билишпейт.

Бул фишинг, коркунучтуу программалар же Chrome браузеринин бузулган плуги нейрондук програм катары жерден аткарылышы мүмкүн. Тейлор Мойнахан да ушул көз карашта.

Муну туюнтууга болот: экрандагы пикселдер ар түрдүү булактардан келип калышы мүмкүн. Колдонуучунун аппараты же веб-сайты компромисс болсо, жамандыкка кызыккан тарап пикселдерди жалган маалымат көрсөтүүгө мажбурлоосу мүмкүн.

Bybit хактоо менен кызматкерлер байланышкан болушу мүмкүнбү?

Bybit кызматкерлери атаканын аракетине катышышы мүмкүн деген версия бар. Бул үчүн Лазарус хакерлеринин бардык кол коюучулардын катышуусун аныктоо, ар бир аппаратты жугузуу жана колдонуучуларды жамандыкка кызыккан транзакцияны кол коюгу мажбурлоо керек болчу.

Муну алыстан ишке ашырууну абдан кыйын.

Одиусдун аналитиктеринин айтымында, Bybit'тин инциденти Radiant жана WazirX платформаларынын жакында болгон хактоосундагы сыяктуу экен, алардын жоготуулары 50 жана 230 миллион долларга чейин жетти.

2024-жылдын аягында Radiant түндүк кореялык хакердин мурдагы кызматкер экендигин тастыктап, ал системаны Telegram аркылуу жугузуп, зыяндуу zip файл жөнөттү. Натыйжада хакерлер бузулган ноутбуктарды аппараттык капчыктар менен байланышкан жалган маалыматтарды берүү үчүн мажбурлай алышты.

Фактически, зыяндуу транзакциялар фонде кол коюлуп калышты, беши хакерлер кыларын издеп жатышты.

Ошентип, каражаттардын жоготулушу “көлөмдүү кол коюуга” байланыштуу болду: аппараттык капчыктар татаал смарт-контракттарды тааный албайт жана көрсөткөнгө өзү просто хэшти гана көрсөтүшөт. Хакерлер бул нюансты колдонуп, құрмандыктар командасынын катышуусунан ратификация алууга колдонушту, алардын фактически активдерин чыгарып жиберүүгө уруксат берип жатышты.

Натыйжада, алар transferOwnership функциясын активдештиришти, бул мультиподписи системасынын үстүнөн контроль алууга мүмкүнчүлүк берди.

Одиусдун айтымында, интернетке туташкан кол коюудагы аппараткалар пайдаланылганда аппараттык капчыктарда эч кандай маңызы жок.

Бул атайын кол салуулар, эгер кол устройство, компьютер же телефон компромисс болсо, анда сеткага туташпай турган устройство менен кол коюудан башка эч нерсе кылынбайт.

Bybit хактоосунан кийин Эфириум менен эмне болот?

Бен Чжоу хактоо боюнча Twitter'де Bybit'тин эң жакын пландары менен бөлүштү. Азыркы учурда платформа өз капиталы менен ETH сатып алууну пландаштырган эмес жана колдонуучулардын жоготуусун компенсациялоодон баш тартат. Ал мындай деди:

Биз азыр биздин өнөктөштөрдөн бридж-кредит диабатын колдонууну сурап жатабыз. Биз эфир сатып алуусун жүргүзбөстөн, анткени бул өтө жогорку сумма. Бирок, биз өнөктөштөрдөн жардам алып жатабыз жана уурдалган ETH’тин 80% ын кредиттер аркылуу компенсациялап жатабыз, бул бизге ликвиддүүлүктү камсыздайт жана учурдагы кризис менен жеңишке көмөк көрсөтөт.

Буга чейин BitMEX криптобиржасының жетекчиси Артур Хейс

Артур Хейс, мурда BitMEX'те жетекчи болгон, Эфириум коомчулугун блокчейндеги таптактар үчүн добуш берүүгө чакырды. Бул акыркы транзакцияларды жокко чыгарууну билдирет, жана уурдалган монеталарды сактап калууга жардам берет. Анын сөздөрүн Coindesk берди.

Виталик Бутерин, Bybit'ке жардам берүү үчүн блокчейнди себелебизби? Менин оюмча, 2016-жылы DAO хактоосунан кийин эфир акчалар статусун жоготуп калды. Эгер коомчулук эскисин кайра жасоону чечсе, мен колдойм, анткени 2016-жылы биз дагы бирден бирдейлик үчүн добуш бергем.

Эскерте кетсек, 2016-жылы Эфириум блокчейни чындап эле DAO чыгыштарын хактоо иштери боюнча транзакцияларды калыбына келтирип койгондо болду.

Bybit учурдагы маселелер менен байланышкан убактыларды көрсөтүп, чукул иштерди жакшыртууга байланышын камсыздады. Хакерлер бул коопсуздук чараларын чөнтөккө жарып тарабынан жапа тартууларды көрсөтүп, кибер коргоонун өнүгүүсүнүн зарылдыгын калыбына келтирген жок. Бул инцидент бардык тармакка сигнал болуусу мүмкүн, анткени эң ири компаниялар туруктуу жаңылануу жана коопсуздуктун жогорулашына муктаж.