Un experto en seguridad afirma que el hackeo de Bybit podría haber involucrado a alguien con información privilegiada

El hackeo de 1.400 millones de dólares de la plataforma de intercambio Bybit es un golpe lógico. En primer lugar, la cantidad de criptomonedas robadas es asombrosa. En segundo lugar, los sistemas de seguridad de las grandes plataformas CEX se consideran bastante fiables y elaborados, pero parece que no es así.

Empresas enteras ( Arkham ) y expertos individuales ( ZachXBT ) están buscando señales de influencia externa y la ruta de los fondos para averiguar a quién se dirigen. Mientras tanto, un experto en seguridad anónimo Dexarán , autor de ERC-223 y jefe de Mancomunidad de Ethereum , ha analizado más a fondo el ataque en sí y reveló que el mecanismo de defensa no era tan robusto y que alguien dentro de Bybit podría estar involucrado en el ataque.

Se ha demostrado que el sistema multisig no es confiable.

La gran mayoría de los intercambios utilizan multifirma billeteras para almacenar activos. De hecho, se trata de un contrato inteligente especial que solo se puede ejecutar si las personas involucradas en la gestión aprueban la acción propuesta con sus firmas. Dichos contratos inteligentes pueden ser actualizable , es decir, tienen un paquete de un contrato proxy que almacena datos y un contrato de implementación: la lógica que se ejecutará.

Dexaran en una de sus publicaciones da la dirección de la contrato de representación del monedero frío Bybit atacado que utiliza Gnosis Safe como contrato de implementación, señalando acertadamente que se trata de un contrato bastante complejo de 1080 líneas. Es posible que el equipo de Bybit nunca haya utilizado la funcionalidad completa de Gnosis Safe. Lo más probable es que la elección de un contrato multifirma inteligente haya estado influenciada por la adopción generalizada de Gnosis Safe. Mientras tanto, la complejidad a menudo conduce a la redundancia y a la incomprensión del comportamiento del código en situaciones complejas, se puede recordar el usuario incorrecto interacción con Gnosis Safe y la pérdida de 25 millones de dólares.

El talón de Aquiles de la multifirma utilizada resultó ser la firma, o mejor dicho, cómo y con qué ayuda se generan. Como Dexaran notas Las firmas son muy complejas e ilegibles para los humanos, lo que significa que lo más probable es que se utilice un software para generarlas y el proceso en sí sea el mismo para todos los participantes, sugiere el investigador.

Por eso los demás miembros del equipo Bybit no sospecharon nada, porque todo parecía... como siempre , y no pudieron leer la sustitución de la billetera activa de Bybit por la billetera del hacker debido a la complejidad de la firma proporcionada por el hacker.

No hay razón para no confiar en la experiencia de Dexaran. Tiene una amplia experiencia en la auditoría de contratos inteligentes desde la división de Ethereum. auditado La billetera multisig para Ethereum Classic, desarrolló el estándar ERC-223 y el modelo de comunicación de contrato inteligente para resolver el problema. Problema ERC-20 .

¿Por qué un hacker estaría dentro de Bybit? Claro, el contrato de Gnosis Safe y el contrato proxy están verificados en el navegador de bloques Etherscan, cualquiera puede leer el código, el hacker podría ser simplemente un tipo inteligente. Sin embargo, el hecho de que sepa claramente cómo se generan las firmas es una rara coincidencia y un golpe de suerte para el hacker, o simplemente conoce el funcionamiento interno del sistema de seguridad de Bybit por sus deberes laborales directos o por un informante. Además, el hacker no solo pasó por allí, sino que también lo hizo. desplegado Dos copias del contrato objetivo para la práctica el día anterior.

Pistas de hackers

Un investigador bajo el apodo de ZachXBT trazado el flujo de fondos a una dirección que acumuló fondos de la Hackeo de Phemex Este hecho se toma como prueba de Grupo Lázaro Participación en el hackeo de Bybit. Teniendo en cuenta que un hacker o un grupo de hackers estaba manipulando los fondos y retirándolos a través de varios puentes y mezcladores, el investigador ha realizado una tarea hercúlea.

\A su vez, Dexaran Sorteos Se debe prestar atención a la cadena de direcciones a través de la cual se reabastecieron las direcciones del hacker para pagar el gas de las llamadas para probar los contratos y enviar una transacción con una firma para retirar fondos de la billetera fría del exchange. Resulta que el hacker financió sus direcciones a través del exchange Binance. Binance cumple plenamente con las políticas KYC/AML y está bastante dispuesto a trabajar con varias agencias de aplicación de la ley. Por supuesto, los piratas informáticos utilizan la llamada "mula de dinero", pero sigue siendo una pista cuando un exchange coopera con las fuerzas del orden.

Reacción de la comunidad. Llamado a la abolición de la descentralización.

Tan pronto como se supo que la bolsa había sido hackeada y que se había retirado una cantidad astronómica de ETH, el mercado experimentó una presión de venta. Obviamente, los comerciantes se apresuraron a cubrir sus apuestas creyendo que los hackers cobrarían el dinero robado.

Captura de mercado de monedas

Después de la apertura de los retiros del intercambio, los usuarios también se apresuraron a retirar sus fondos, lo que resultó en una salida de $ 5.3 mil millones ( Llama DeFi ).

Varias empresas han conseguido involucrado Al etiquetar los fondos robados y limitar la capacidad de los piratas informáticos de usar diferentes plataformas para mezclar y transferir fondos entre cadenas de bloques. Tether, el emisor de USDt, bloquea los fondos de los piratas informáticos ( Pablo Ardoino ).

Sin embargo, no todos actúan al unísono. Cryptomixer eXch se ha negado a cooperar con la plataforma de intercambio.

“A la luz de estas circunstancias, nos gustaría una explicación de por qué deberíamos asociarnos con una organización que ha difamado activamente nuestra reputación”, escribió eXch en una respuesta publicada en el foro de Bitcointalk .

Sorprendentemente, hay personas que piden una reversión de la cadena de bloques Ethereum para recuperar los fondos de Bybit,

Uno de ellos 3 de enero, director ejecutivo Samson Mow .

Estas llamadas suenan un poco extrañas, cuando a los usuarios comunes que pierden sus fondos se les acusa de negligencia. No es raro que los usuarios envíen fondos por error al exchange desde la red EVM incorrecta, y todo lo que el exchange necesita hacer es usar un nodo público para enviar los fondos del usuario de vuelta, pero en el 99,9% de los casos se niegan. Además, Bybit ha asegurado que tiene suficientes reservas para cubrir todas las pérdidas.

Estas personas, sin saberlo, piden enterrar todos los esfuerzos realizados por la industria blockchain aboliendo por completo la descentralización, reduciendo así el valor mismo de la tecnología blockchain pública a 0.

Afortunadamente, los propios desarrolladores de Ethereum están en contra de tal medida y han justificado con creces su posición.

por ejemplo, desarrollador del kernel El hombre más rico del mundo .

Y tienen suficientes partidarios en este tema que abogan por la descentralización y la filosofía criptopunk,

como Justin Bons-Olvídate de mí

Bybit en sí Lanzado un programa de recompensas, anunciando así una cacería de piratas informáticos involucrados en el ataque.

Conclusión

La comunidad está acostumbrada a los hackeos periódicos de los protocolos DeFi. En estas plataformas, los desarrolladores a menudo descuidan los procedimientos de prueba y las auditorías, eligen módulos cuyo código y lógica no conocen por completo. Todo en beneficio de la velocidad de desarrollo y el miedo a perderse la ola. Es por eso que el hackeo de CEX, especialmente uno de gran envergadura, es siempre un evento de alto perfil que deja una impresión duradera en toda la industria.

Los desarrolladores de todos los niveles no deben olvidar que la carrera de mecanismos de defensa y herramientas de piratería no se detiene y deben estar en guardia.