Saldırganlar, Bybit Exchange’in Soğuk Cüzdan Altyapısına, sofistike arayüz manipülasyonu ve sosyal mühendislik taktikleri aracılığıyla dijital varlıklarda 1,46 milyar dolar çalmak için sızdı.
Olay, Mt. Gox’un 2014 çöküşünden bu yana merkezi bir kripto borsasından en büyük hırsızlığı temsil ederek, daha önce aşılmaz olarak kabul edilen kurumsal düzeyde çok hassas (multiSig) sistemlerde kritik güvenlik açıklarını ortaya çıkarır.
Güvenlik firması TRM Labs, saldırıyı 2018’den beri 3 milyar doların üzerinde kripto varlıklarında çaldığı bilinen Kuzey Kore devlet destekli hack kolektif Lazarus Group’a “yüksek güven” ile ilişkilendiriyor.
Yeni nesil arayüz manipülasyonu
İhlal, operasyonel sıcak cüzdanlara rutin bir transfer sırasında Bybit’in Ethereum MultiSig soğuk cüzdanına kesin olarak planlanan bir saldırı yoluyla meydana geldi.
Saldırganlar, arka plana kötü niyetli akıllı sözleşme mantığını yerleştirirken yetkili imzalayanlara meşru işlem ayrıntıları gösteren gelişmiş arayüz sahte teknikleri kullandılar.
Bu yaklaşım, araştırmacıların “sosyal mühendislik bileşenleriyle tedarik zinciri saldırısı” olarak tanımladığı şey aracılığıyla üç ayrı imzalama cihazından ödün vererek Bybit’in 3’ünün 3’ünü 3 çoklu onay sistemini atlattı.
Blockchain adli analistleri, kötü niyetli sözleşmeyi, Safe Protokolün Exectransaction fonksiyonunun değiştirilmiş bir versiyonu olarak tanımladılar, bu da araştırmacıların Temmuz 2024’te arayüz manipülasyon saldırılarına karşı savunmasız olarak işaretledikleri. Değiştirilmiş kod, saldırganların cüzdan kontrol izinlerini gizlice yönlendirirken standart işlem akışlarının görünümünü korumasını sağladı.
.webp)
Bybit’in güvenlik ekibi, yetkisiz transferden 47 dakika içinde anormal etkinlik tespit etti, hemen etkilenen sistemleri izole ederek ve protokol çapında güvenlik denetimlerini başlattı. Borsa, diğer tüm soğuk depolama tonozları ve kullanıcı fonlarının güvenli kalmasıyla sadece bir etli soğuk cüzdan kümesinin tehlikeye atıldığını doğruladı.
Exchange, çalınan fonları 12.438 cüzdan adresinde izlemek için Chainalysis, TRM laboratuarları ve üç isimsiz blockchain analitik firmasıyla ortaklık kurdu. Ön analiz, aşağıdakileri içeren gelişmiş gizleme taktikleri kullanan saldırganları göstermektedir:
- Gizlilik Mikser Tornado Cash aracılığıyla döngüsel işlemler
- Monero ve Zcash’e çapraz zincir takasları
- Merkezi olmayan borsalarda katmanlı yönlendirme
Kuzey Kore Lazarus Grubu
TRM Labs’ın Kuzey Koreli operatörlere atfedilmesi üç temel faktörden kaynaklanmaktadır:
- Kod benzerliği: Saldırının Akıllı Sözleşme Mantığı ile Lazarus Group’un 2023 Harmony Köprüsü İstismarı arasında% 78 maç
- Altyapı kalıpları: DPRK siber birimleri tarafından tarihsel olarak tercih edilen Rus kurşun geçirmez barındırma hizmetlerinin kullanımı
- Fon hareketi: 2022 Ronin Köprüsü soygun desenlerini yansıtma erken test işlemleri
Birleşmiş Milletler Uyuşturucu ve Suç Ofisi, Kuzey Kore’nin 2022’den bu yana 1,7 milyar dolar kripto varlıklarını çaldığını ve öncelikle nükleer silah programını finanse ettiğini tahmin ediyor.
Saldırganlar Kırık Güvenli Protokol
Saldırganlar, Gnosis Safe’ın ilk olarak Check Point araştırmacıları tarafından tanımlanan Exectransaction fonksiyonunda bir kırılganlıktan yararlandı. Manipüle edilmiş arayüz:
- İmzalayanlara meşru işlem detayları sundu
- Sözleşme sahipliği veren gömülü kötü niyetli mantık
- Parametre manipülasyonu yoluyla atanmış EIP-712 imza doğrulaması
Bu, hem gerçek sıcak cüzdan transferinin hem de gizli sözleşme sahipliği transferinin eşzamanlı olarak yetkilendirilmesine izin verdi.
Soruşturmalar devam ettikçe, bu ihlal dijital varlık güvenliği için çok önemlidir, bu da en sağlam teknik önlemlerin bile insan faktörü sömürüsüne karşı savunmasız kaldığını kanıtlamaktadır.
GÜNCELLEME: BYBIT öncelikli kullanıcı para çekme işlemleri. İhlali tespit ettikten sonraki ilk 10 saat içinde, değişim 350.000’den fazla para çekme talebini işledi – herhangi bir kripto platformu için tarihi bir yüksek. 22 Şubat’ta UTC 1: 45’e kadar bu taleplerin% 99,9’u başarıyla tamamlanmıştır. Şu andan itibaren, 2.100’den az bekleyen talep devam ediyor ve değişim onları kesin bir şekilde sonuçlandırmak için çalışıyor.
Zhou bir güncellemede, “Kullanıcılarımızın fonlarına daha fazla gecikmeden erişebilmelerini sağlamak için yorulmadan çalıştık” dedi. “Bu, şeffaflık ve kullanıcı güvenliğine olan bağlılığımızın bir kanıtıdır.”
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun