ReadWrite
paint-brush
バイビットの15億ドルの仮想通貨強奪事件が中央集権型取引所のセキュリティに関する議論を巻き起こす@menaskop
新しい歴史

バイビットの15億ドルの仮想通貨強奪事件が中央集権型取引所のセキュリティに関する議論を巻き起こす

menaskop4m2025/02/25
Read on Terminal Reader
tldt arrow
en-flagENes-flagESpt-flagPTja-flagJAsq-flagSQlo-flagLOgl-flagGLbs-flagBShu-flagHUmn-flagMNsk-flagSKaz-flagAZmk-flagMK
JA

長すぎる; 読むには

Bybit の従業員は、自社のシステムは無敵だと思っていましたが、14 億ドルの値札がすべてを一変させました。唯一の変数は、お金、時間、労力です。ハードウェア ウォレットは常に攻撃を受けてきましたが、リスクを軽減することは可能です。
featured image - バイビットの15億ドルの仮想通貨強奪事件が中央集権型取引所のセキュリティに関する議論を巻き起こす
menaskop HackerNoon profile picture

セキュリティは、私が過去 15 ~ 17 年間取り組んできた分野です。どれだけ知識があっても、自分より賢く、速く、強い人は常に存在します。しかし、決して破ってはならない一連のルールと原則があります。


Bybit の経験は、取引所の従業員が、基本的かつ抽象的な原則から具体的かつ詳細な対策に至るまで、すべての主要なセキュリティ アプローチを無視していたため、私にとって特に印象的でした。


したがって、私はこのハックに基づいていくつかの重要な側面を分析します。

セキュリティのゼロ原則

何年も前に、私は自分自身のためにこの原則を定式化しました。 「どんなシステムでもハッキングされる可能性がある。問題は、時間とお金と労力だけだ。」システムをハッキングすると 100 万ドルの利益が得られるのに、攻撃者のコストが 1 万ドルだけであれば、システムは間違いなくハッキングされます。しかし、ハッキングに 110 万ドルかかるとしたら、なぜわざわざハッキングするのかという疑問が生じます。もちろん、動機が競合他社に損害を与えることや、国家が支援するサイバー攻撃を行うことでない限りは。


この原則は、まさに Bybit の従業員が違反したものでした。最初のインタビューによると、彼らは自社のシステムが無敵であると信じていました。しかし、14 億ドルの価格がすべてを一変させました。


どこで仕事をするにしても、いつでも、どんなことでハッキングされる可能性があることを理解する必要があります。唯一の変数は、お金、時間、そして労力です。これを理解した上で、前進しましょう...

ハードウェアウォレット + マルチシグは安全ですか?

はい、そしていいえ。ハードウェア ウォレットは常に攻撃を受けています。LedgerTrezor がその代表例です。他のブランドはさらにひどい状況です。

ただし、ハードウェア/マルチシグウォレットを使用すると、リスクを軽減し、悪影響を減らすことができます。


研究者と個人の経験からまとめた推奨事項をいくつか紹介します。

  • 署名する内容を確認する: 表示されている内容が実際に署名または転送する内容と一致していることを常に確認してください。矛盾に気付いた場合は、停止して一時停止し、状況を慎重に評価してください。
  • ブラウザベースのウォレット接続は直接接続よりも安全です。なぜでしょうか? ブラウザ ウォレットには広範な契約データベースがあり、誤検知が発生することもありますが、新しい契約、特に未検証の契約とのやり取りを強調します (このケースではこれが関連していました)。
  • ウォレットのファームウェアを更新する: 倫理的なハッキングに興味がない限り、公式ファームウェアのみをインストールしてください。これは、製造元の Web サイトまたはハッシュ サムで確認できます。
  • 署名する前にトランザクションをシミュレートする: 予期しない変更がないか常にチェックします。ここでの重要な概念は、事前チェック割り込みです。
  • 代替検証ソースを使用する: 役立つツールには次のようなものがあります。
  • Safe では代替インターフェースも導入されています:
  • 追加。:


これらの予防策はほんの始まりに過ぎません。では、Radiant ハッキングから学んだ教訓と比較してみましょう。

  • 多層署名検証: たとえ軽微な異常であっても、セキュリティ レビューをトリガーする必要があります。
  • 独立したトランザクション検証デバイス: ハードウェア ウォレット データと一致する検証コードを生成します。
  • 強化された Ledger/Trezor セキュリティ: 重要なトランザクションに対するブラインド署名を回避します。
  • 繰り返し発生するトランザクションの失敗を監査する: 問題が繰り返し発生する場合は、完全なトランザクション監査をトリガーする必要があります。
  • 手動トランザクション データ検証: 署名する前にトランザクション データを抽出してデコードし、機能とアドレスが期待どおりであることを確認します。
  • デュアル メッセージ ハッシュ確認: ハードウェア ウォレットでのトランザクションを検証するには、Gnosis のガイドを使用します。


Bybit はこれらのいずれかを実装しましたか? 入手可能なデータによると、いいえ。

人間的要因:最も弱い部分

フィッシング、ソーシャル エンジニアリング、スパムがサイバー攻撃の 80% を占めています。Bybit と Radiant の事例は、このことを明確に証明しています。


リスクを軽減するには、役割の分離を実装します。

  • 署名者が複数いる場合は、署名者ごとに独立した検証チャネルが必要です
  • 所有権の変更は、取引の承認よりも複雑になるはずです
  • コールドウォレットには、許容損失しきい値を超える金額を保管しないでください(たとえば、15 億ドルはどの取引所にとっても過剰です)。
  • 取引の不一致がある場合は、承認ではなく、デフォルトでキャンセルされる必要があります
  • スタッフは継続的に、少なくとも月に 1 回はセキュリティ トレーニングを受ける必要があります
  • マルチシグウォレットと高度なセキュリティツールの専門知識を持つセキュリティ検証者を少なくとも 1 人任命します


繰り返しますが、公開データでは、Bybit がこれらのいずれかの手順を実行したことを確認することはできません。

研究者の意見

多くの専門家がこのハッキングについて意見を述べています。主な見解は次のとおりです。


重要なポイントは、攻撃は高度に技術的であるように見えたが、最終的には技術的な脆弱性ではなく人為的ミスによって成功したということだ。


したがって、Radiant と WazirX のケースも研究することを強くお勧めします。スクリプト キディがこれらの手法を採用していることは明らかであり、次に取引所だけでなく、より広範囲の暗号プロジェクトがターゲットになることを意味します。


安全にお過ごしください!

Welcome Bonus of up to $600 in Rewards. Join Now!

L O A D I N G
. . . comments & more!

About Author

menaskop HackerNoon profile picture
menaskop@menaskop
Web 3.0. Tempography. Netstalking.
Read my stories

ラベル

purcat-imgweb3 #bybit #multisig #hardware-wallet #multi-signature-wallet #offline-storage #bybit-hack #how-was-bybit-hacked #hackernoon-top-story

この記事は...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

関連ストーリー

Article Thumbnail
18 種類の開発者ツールで生産性を向上しましょう 🚀🔥
by madzadev
Jan 01, 1970
#web-development
Article Thumbnail
Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析
by tyingshoelaces
Jan 01, 1970
#ai
Article Thumbnail
フロキのヴァルハラがインドのスリランカツアーのアソシエイトスポンサーに加わる
by chainwire
Jan 01, 1970
#web3
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas