TL;DR
Som šokovaný, zdesený a frustrovaný tým, ako ľahko sa dajú v 21. storočí skresľovať pojmy. Hack Bybit je z 99 % výsledkom nedbanlivosti tímu CEX a iba z 1 % je zručnosť hackerov.
Médiá však zmenili naratív: zdôrazňujú, že útok údajne vykonala skupina Lazarus, hoci neexistujú žiadne konkrétne dôkazy (okrem neoverených tvrdení zachxbta a Arhama).
Nižšie uvádzam svoju perspektívu založenú na faktoch, aby som ich zachoval – keďže tento incident nepochybne vstúpi do histórie.
Fakt č. 1: Nebol žiadny hack
Ak jasne rozlišujeme medzi hackom , sociálnym inžinierstvom a cieleným útokom , je zrejmé, že k žiadnemu skutočnému hacknutiu nedošlo. Dovolím si citovať :
„Nedošlo k zneužitiu kódu. Žiadne uniknuté súkromné kľúče. Vlastní multisig signatári Bybitu transakcie schválili. Mysleli si, že podpisujú rutinný transfer. Namiesto toho odovzdali celú svoju studenú peňaženku.“
Čo sa teda naozaj stalo?
- Bybitov bezpečnostný tím bol nekompetentný .
- Ignorovali radiačný útok , ktorý mal identické útočné vektory.
- Pokúsili sa presunúť vinu na Safe, iné spoločnosti a „zlých hackerov“.
Arkham a Bybit sa tak sústredili na tretí bod, že nedokázali poskytnúť žiadne skutočné dôkazy.
Fakt č. 2: Realitu nahrádza vizualizácia
Takmer okamžite spoločnosť Arkham vydala vizuálny sledovač zobrazujúci všetky transakcie súvisiace s „hackom“: Arkham Explorer .
Problém? Táto vizualizácia odvádza pozornosť od skutočného problému:
- Bybit urobil tri neodpustiteľné chyby, čo znamená, že k podobným „hackom“ mohlo dôjsť aj predtým, len v menšom meradle.
- Bez porovnania minulých incidentov nemôžeme úplne pochopiť rozsah problému.
Fakt č. 3: Lazarus je pohodlný obetný baránok
Premýšľajte o tom:
- Generálny riaditeľ (ktorý je posledným podpisovateľom) nedokázal overiť transakcie.
- Bezpečnostný tím buď neexistuje, alebo je úplne neúčinný.
- K podobnému útoku už došlo a oni ignorovali varovné signály.
- A teraz to všetko pohodlne pripnú na Lazara?
Záleží vôbec na tom, kto je v tomto prípade na „Temnej strane“? Odpoveď nemusí byť jednoznačná, ale nie – nie je.
Počiatočné odbery
Mnohí chvália Bybit za to, že „neblokuje výbery“, ale nejde o prejav dobrej vôle – je to ich povinnosť. Prostriedky na CEX patria používateľom, nie burze.
Medzitým Bybit šikovne presunul vinu na Safe a prinútil ich vydať verejné vyhlásenie objasňujúce, že neboli zistené žiadne exploity: Safe Statement .
Potom sa Bybit pustil do rozprávania o Lazarusovi a oznámil plány na zapojenie orgánov činných v trestnom konaní – pričom pohodlne vynechal skutočnosť, že prvé vyšetrovanie by sa malo zamerať na ich vlastnú vnútornú nedbalosť.
Môj argument
Zdá sa mi podozrivé, ako rýchlo sa skupina Lazarus dostala do tohto príbehu. Je to buď:
- Vysoko sofistikovaná entita, ktorá funguje bezchybne bez zanechania stopy.
- Alebo skupina, ktorú „každý vidí a vie o nej“, no akosi naďalej funguje v utajení.
Druhý scenár sa zdá byť veľmi nepravdepodobný.
Ale čo je najdôležitejšie, povedzme si úprimne:
- Bybit je z 99 % zodpovedný za tento „hack“ z dôvodu jeho zlyhania pri udržiavaní vnútornej a vonkajšej bezpečnosti a jeho odmietnutia poučiť sa z minulých útokov.
- Bybit falošne zapojil do tohto útoku ďalšie spoločnosti Web3 bez toho, aby predložil dôkazy.
- Bybit naďalej skresľuje fakty a vykresľuje to ako hackovanie namiesto čistej nedbanlivosti.
Nepoužívam Bybit ani žiadny iný CEX, pretože verím, že decentralizácia je najlepšia forma bezpečnosti. Ale tiež odmietam, aby médiá vytvorili falošný príbeh – taký, v ktorom je obeťou Bybit, na vine sú služby Web3 a jedinými vinníkmi sú „zlí hackeri“.
Bybit je jedinou dokázanou vinnou v tomto incidente. Úlohu všetkých ostatných treba buď dokázať, alebo vyvrátiť.
(A pamätajte, Mt.Gox tiež veľa hovoril, ale nikdy nedodal nič podstatné).