TL;DR
Šokiran sam, užasnut i frustriran koliko se lako koncepti mogu iskriviti u 21. stoljeću. Bybitov hak je 99% rezultat nemara CEX tima i samo 1% vještine hakera.
Ipak, mediji su izokrenuli narativ: naglašavaju da je napad navodno izvela skupina Lazarus, iako nema konkretnih dokaza (osim neprovjerenih tvrdnji zachxbta i Arhama).
U nastavku predstavljam svoju perspektivu utemeljenu na činjenicama kako bih ih sačuvao—budući da će ovaj incident nesumnjivo ući u povijest.
Činjenica #1: Nije bilo hacka
Ako jasno razlikujemo hakiranje , društveni inženjering i ciljani napad , postaje očito da se hakiranje zapravo nije dogodilo. Dopustite mi da citiram :
“Nije bilo iskorištavanja koda. Nema procurjelih privatnih ključeva. Bybitovi vlastiti multisig potpisnici odobrili su transakcije. Mislili su da potpisuju rutinski transfer. Umjesto toga, predavali su cijeli svoj hladni novčanik.”
Dakle, što se stvarno dogodilo?
- Bybitov tim za sigurnost bio je nekompetentan .
- Ignorirali su Radiant napad , koji je imao identične vektore napada.
- Pokušali su prebaciti krivnju na Safe, druge tvrtke i "zle hakere".
Arkham i Bybit bili su toliko usredotočeni na treću točku da nisu uspjeli pružiti nikakve stvarne dokaze.
Činjenica #2: Vizualizacija zamjenjuje stvarnost
Gotovo odmah, Arkham je objavio vizualni tracker koji prikazuje sve transakcije povezane s "hackom": Arkham Explorer .
problem? Ova vizualizacija skreće pažnju sa pravog problema:
- Bybit je napravio tri neoprostive pogreške, što znači da su se slični "hakovi" mogli dogoditi i prije, samo u manjoj mjeri.
- Bez usporedbe prošlih incidenata ne možemo u potpunosti razumjeti opseg problema.
Činjenica #3: Lazarus je zgodan žrtveni jarac
Razmisli o tome:
- Izvršni direktor (koji je posljednji potpisnik) nije uspio potvrditi transakcije.
- Sigurnosni tim ili ne postoji ili je potpuno neučinkovit.
- Sličan napad već se dogodio, a oni su zanemarili znakove upozorenja.
- I sada sve zgodno prikače Lazaru?
Je li uopće bitno tko je u ovom slučaju na "tamnoj strani"? Odgovor možda nije očit, ali ne - nije.
Početni zaključci
Mnogi hvale Bybit jer "ne blokira isplate", ali to nije čin dobre volje - to je njihova obveza. Sredstva na CEX-u pripadaju korisnicima, a ne burzi.
U međuvremenu, Bybit je lukavo prebacio krivnju na Safe, prisiljavajući ih da izdaju javnu izjavu u kojoj se pojašnjava da nisu otkrivena nikakva iskorištavanja: Safe Statement .
Zatim se Bybit uhvatio priče o Lazarusu, najavljujući planove za uključivanje organa za provođenje zakona - dok je prigodno izostavio činjenicu da bi se prva istraga trebala usredotočiti na njihov unutarnji nemar.
Moj argument
Sumnjivo mi je kako je brzo u ovu priču uvučena grupa Lazarus. To je ili:
- Visoko sofisticiran entitet koji radi besprijekorno ne ostavljajući traga.
- Ili skupina koju "svi vide i znaju za nju", a ipak nekako nastavlja djelovati u tajnosti.
Drugi scenarij čini se vrlo malo vjerojatnim.
Ali što je najvažnije, budimo iskreni:
- Bybit je 99% odgovoran za ovaj "hack" zbog neuspjeha u održavanju unutarnje i vanjske sigurnosti i odbijanja učenja iz prošlih napada.
- Bybit je lažno upleo druge Web3 tvrtke u ovaj napad bez predstavljanja ikakvih dokaza.
- Bybit nastavlja iskrivljavati činjenice, prikazujući to kao hakiranje umjesto čistog nemara.
Ne koristim Bybit niti bilo koji drugi CEX jer vjerujem da je decentralizacija najbolji oblik sigurnosti. Ali također odbijam dopustiti medijima da stvore lažnu priču—onu u kojoj je Bybit žrtva , Web3 usluge krive, a "zli hakeri" jedini krivci.
Bybit je jedini dokazani krivac u ovom incidentu. Ulogu svih ostalih treba ili dokazati ili razotkriti.
(I zapamtite, Mt.Gox je također puno pričao, ali nikad nije isporučio ništa značajno).
