Crypto Aanval op Bybit hackte geen infrastructuur en exploiteerde geen smart contract code. Hoe werkte het?
De cryptovaluta-industrie en degenen die verantwoordelijk zijn voor de beveiliging ervan, zijn nog steeds in shock na de overval van vrijdag, waarschijnlijk door Noord-Korea, waarbij 1,5 miljard dollar werd buitgemaakt van de in Dubai gevestigde beurs Bybit. Daarmee is de diefstal veruit de grootste ooit in de geschiedenis van digitale activa.
Bybit-functionarissen onthulden de diefstal van meer dan 400.000 ethereum en gestakete ethereum-munten, slechts enkele uren nadat het plaatsvond. De melding zei dat de digitale buit was opgeslagen in een “Multisig Cold Wallet” toen het op de een of andere manier werd overgezet naar een van de hot wallets van de exchange. Van daaruit werd de cryptocurrency helemaal uit Bybit overgezet naar wallets die werden beheerd door de onbekende aanvallers.
Deze portemonnee is te warm, deze is te koud
Onderzoekers van blockchain-analysebedrijf Elliptic, onder anderen, zeiden afgelopen weekend dat de technieken en de stroom van de daaropvolgende witwasoperaties van de fondsen de handtekening dragen van dreigingsactoren die namens Noord-Korea werken. De onthulling is geen verrassing, aangezien het geïsoleerde land al lang een bloeiende cryptocurrency-diefstalracket heeft , grotendeels om zijn massavernietigingswapenprogramma te betalen.
Multisig cold wallets, ook wel multisig safes genoemd, behoren tot de gouden standaarden voor het beveiligen van grote sommen cryptovaluta. Binnenkort meer over hoe de dreigingsactoren deze hoge horde hebben genomen. Eerst een beetje over cold wallets en multisig cold wallets en hoe ze cryptovaluta beveiligen tegen diefstal.
Wallets zijn accounts die sterke encryptie gebruiken om bitcoin, ethereum of een andere vorm van cryptocurrency op te slaan. Aan deze wallets wordt een encryptiesleutelpaar toegewezen. De publieke sleutel fungeert als het walletadres, zodat anderen weten hoe ze het kunnen vinden, hoewel sommige accounthouders ervoor kiezen om het privé te houden. Het privégedeelte van het sleutelpaar is ondertussen een lange alfanumerieke string die nodig is om geld uit de wallet te halen.
Transfers vereisen hot wallets. Dit zijn accounts die altijd verbonden zijn met het internet en de private key opslaan. In het afgelopen decennium zijn hot wallets leeggezogen van digitale munten die miljarden, zo niet biljoenen dollars waard zouden zijn. Meestal zijn deze aanvallen het gevolg van dieven die op de een of andere manier de private key hebben verkregen en de wallet hebben leeggehaald voordat de eigenaar weet dat de key is gecompromitteerd.
Gezien de kwetsbaarheid van hot wallets voor diefstal, slaan veel accounthouders de private keys offline op, zodat ze gescheiden blijven van het adres. Deze cold wallets kunnen de offline private keys op verschillende manieren opslaan. De veiligste manier is om de keys te beveiligen in een speciaal stuk hardware, vaak in de vorm van een USB-dongle, die ze alleen ontsleutelt wanneer bepaalde authenticatiestappen plaatsvinden.
Multisig cold wallets gaan een stap verder. Op dezelfde manier waarop kernwapensystemen zijn ontworpen om twee of meer geautoriseerde personen te vereisen om zichzelf succesvol te authenticeren voordat een raket kan worden gelanceerd, hebben multisig wallets de digitale handtekeningen van twee of meer geautoriseerde personen nodig voordat activa kunnen worden benaderd.
Bybit volgde grotendeels best practices door alleen zoveel valuta op te slaan als nodig was voor dagelijkse activiteiten in warme en hete wallets, en de rest in de multisig cold wallets te bewaren. Het overmaken van fondsen uit cold wallets vereiste gecoördineerde goedkeuring van meerdere hooggeplaatste medewerkers van de exchange.
Ook wij hebben jou steun nodig in 2025, gun ons een extra bakkie koffie groot of klein.
Dank je en proost?
Wij van Indignatie AI zijn je eeuwig dankbaar
De onmiddellijke speculatie was dat de leeggezogen cold wallet, of de infrastructuur die deze host, geleverd door een bedrijf genaamd Safe , op de een of andere manier was gecompromitteerd. Deze theorie was plausibel genoeg, aangezien dit soort diefstallen meestal worden uitgevoerd door kwetsbaarheden in de code die cryptovaluta smart contracts afdwingt of de infrastructuur die deze host.
De speculatie was ook consistent met de verhalen van Bybit-medewerkers dat, volgens Safe , de gebruikersinterfaces van de cold wallet voor de getroffen Bybit-medewerkers “de correct-lijkende transactie-informatie weergaf… maar een kwaadaardige transactie met alle geldige handtekeningen werd onchain uitgevoerd.” (Safe pauzeerde ook zijn Safe{Wallet} -services na de aanval en was, toen dit verhaal live ging op Ars, begonnen met een gefaseerde uitrol om ze te herstellen.)
Deze theorie werd verworpen nadat een volgend onderzoek door Safe geen tekenen van ongeautoriseerde toegang tot zijn infrastructuur, geen compromissen van andere Safe-wallets en geen duidelijke kwetsbaarheden in de Safe-codebase vond. Terwijl onderzoekers verder graven, kwamen ze uiteindelijk tot de conclusie wat de ware oorzaak was. Bybit zei uiteindelijk dat de frauduleuze transactie was “gemanipuleerd door een geavanceerde aanval die de logica van het slimme contract wijzigde en de ondertekeningsinterface maskeerde, waardoor de aanvaller controle kon krijgen over de ETH Cold Wallet.”
Veronderstellingen aan diggelen slaan
Dat betekent dat meerdere systemen binnen Bybit op een manier zijn gehackt waardoor de aanvallers de Safe wallet UI op de apparaten van elke persoon die de overdracht moet goedkeuren, konden manipuleren. Die onthulling heeft op zijn beurt een soort eureka-moment veroorzaakt voor velen in de industrie.
“De Bybit-hack heeft lang gekoesterde aannames over cryptobeveiliging aan diggelen geslagen”, schreven Dikla Barda, Roman Ziakin en Oded Vanunu, onderzoekers bij beveiligingsbedrijf Check Point, zondag . “Ongeacht hoe sterk uw smart contractlogica of multisig-beveiligingen zijn, het menselijke element blijft de zwakste schakel. Deze aanval bewijst dat UI-manipulatie en social engineering zelfs de veiligste wallets kunnen omzeilen.”
Het is nog steeds onduidelijk hoe de aanvallers erin slaagden de gebruikersinterfaces van meerdere Bybit-medewerkers te hacken, wier handtekeningen nodig waren om de fondsen uit de cold storage te halen. Maar zoals onderzoekers Dan Guido, Benjamin Samuels en Anish Naik van beveiligingsbedrijf Trail of Bits opmerkten , gebruiken hackers die namens de Noord-Koreaanse overheid werken al lang geavanceerde malwaretools die:
- Werkt naadloos op Windows, MacOS en verschillende wallet-interfaces
- Toon minimale tekenen van compromissen, maar blijf volhardend
- Functioneren als achterdeurtjes om willekeurige commando’s uit te voeren
- Download en voer extra schadelijke payloads uit
- Manipuleer wat gebruikers in hun interfaces zien
Deze hackers staan ook al lang bekend om hun meedogenloze social engineering-vaardigheden. Ze besteden vaak weken of maanden aan het bouwen van online persona’s die uiteindelijk het vertrouwen van de doelwitten winnen. Die volharding heeft de dieven die Bybit hebben aangevallen waarschijnlijk in staat gesteld om op de een of andere manier te knoeien met de gebruikersinterfaces van elke werknemer van het bedrijf wiens digitale imprimatur nodig was om de fondsen uit de cold storage te halen – en uiteindelijk naar wallets die de hackers controleerden – en dat alles razendsnel.
Zoals Check Point en Trail of Bits aangeven, brengen de hier geleerde lessen de beveiliging van cryptovaluta terug tot enkele van de meest basale elementen, zoals het segmenteren van interne netwerken, het invoeren van diepgaande verdedigingspraktijken met meerdere, overlappende controles om geavanceerde aanvallen te detecteren en te voorkomen, en voorbereiding op scenario’s zoals deze.
Bericht bijgewerkt om de uitleg over hot wallets te verbeteren.
