Özetle;
21. yüzyılda kavramların ne kadar kolay çarpıtılabildiğine şaşırdım, dehşete düştüm ve hayal kırıklığına uğradım. Bybit hack'i %99 oranında CEX ekibinin ihmali ve yalnızca %1 oranında hackerların becerisinin sonucudur.
Ancak medya olayı tersine çevirdi: Zachxbt ve Arham'ın doğrulanmamış iddiaları dışında somut bir kanıt olmamasına rağmen, saldırının Lazarus grubu tarafından gerçekleştirildiğini öne sürdüler.
Aşağıda, bu olayın tarihe geçeceği şüphesiz olduğundan, gerçekleri korumak için, kendi bakış açımı gerçeklere dayanarak sunuyorum.
Gerçek #1: Hiçbir Saldırı Olmadı
Hack , sosyal mühendislik ve hedefli saldırı arasında net bir ayrım yaparsak, gerçekte hiçbir hack olayının yaşanmadığı ortaya çıkar. Alıntı yapayım:
"Kod açığı yoktu. Sızdırılmış özel anahtarlar yoktu. Bybit'in kendi çoklu imzalı imzalayıcıları işlemleri onayladı. Rutin bir transfer imzaladıklarını düşünüyorlardı. Bunun yerine, tüm soğuk cüzdanlarını teslim ediyorlardı."
Peki gerçekte ne oldu?
- Bybit’in güvenlik ekibi yetersizdi .
- Aynı saldırı vektörlerine sahip olan Radiant saldırısını görmezden geldiler .
- Suçu Safe'in, diğer şirketlerin ve "kötü niyetli bilgisayar korsanlarının" üzerine atmaya çalıştılar .
Arkham ve Bybit üçüncü maddeye o kadar odaklanmışlardı ki gerçek bir kanıt sunmayı başaramadılar .
Gerçek #2: Görselleştirme Gerçekliğin Yerini Alır
Arkham, hemen ardından "hack" ile ilgili tüm işlemleri gösteren görsel bir takipçi yayınladı: Arkham Explorer .
Sorun nedir? Bu görselleştirme gerçek meseleden uzaklaştırıyor:
- Bybit'in üç affedilemez hata yapması, benzer "hack'lerin" daha önce de yaşanmış olabileceği anlamına geliyor; sadece daha küçük ölçekte.
- Geçmişteki olayları karşılaştırmadan konunun boyutunu tam olarak kavrayamayız.
Gerçek #3: Lazarus Uygun Bir Günah Keçisidir
Bir düşünün:
- CEO (son imza sahibi) işlemleri doğrulamayı başaramadı.
- Güvenlik ekibi ya yok ya da tamamen etkisiz.
- Daha önce de benzer bir saldırı yaşanmıştı ve uyarı işaretlerini dikkate almamışlardı.
- Ve şimdi her şeyi Lazarus'un üstüne mi yıkıyorlar?
Bu durumda "Karanlık Taraf"ta kimin olduğunun bir önemi var mı? Cevap açık olmayabilir, ama hayır—önemli değil.
İlk Çıkarımlar
Birçok kişi Bybit'i "para çekme işlemlerini engellemediği" için övüyor, ancak bu bir iyi niyet eylemi değil, onların yükümlülüğüdür. Bir CEX'teki fonlar borsaya değil, kullanıcılara aittir.
Bu arada Bybit, suçu Safe'in üzerine atarak, hiçbir istismarın tespit edilmediğini açıklayan bir kamu açıklaması yayınlamalarını zorladı: Safe Beyanı .
Daha sonra Bybit, Lazarus anlatısına sarılarak kolluk kuvvetlerini dahil etme planlarını duyurdu; ancak ilk soruşturmanın kendi iç ihmallerine odaklanması gerektiği gerçeğini uygun bir şekilde atladı.
Benim Argümanım
Lazarus grubunun bu hikayeye ne kadar çabuk dahil edildiğini şüpheli buluyorum. Ya:
- Kusursuz bir şekilde, iz bırakmadan işleyen son derece gelişmiş bir varlık.
- Ya da "herkesin gördüğü ve bildiği" ama bir şekilde gizlilik içinde işlevini sürdüren bir grup.
İkinci senaryonun gerçekleşmesi pek olası görünmüyor.
Ama en önemlisi, dürüst olalım:
- Bybit , iç ve dış güvenliği sağlamadaki başarısızlığı ve geçmiş saldırılardan ders çıkarmayı reddetmesi nedeniyle bu "saldırının" %99'undan sorumludur.
- Bybit, herhangi bir kanıt sunmadan diğer Web3 şirketlerini bu saldırıya yanlış bir şekilde dahil etti.
- Bybit , bunu tam bir ihmalkarlık olarak değil, bir saldırı olarak göstererek gerçekleri çarpıtmaya devam ediyor.
Bybit'i veya başka bir CEX'i kullanmıyorum çünkü merkeziyetsizliğin en iyi güvenlik biçimi olduğuna inanıyorum. Ancak medyanın yanlış bir anlatı yaratmasına da izin vermeyi reddediyorum; Bybit'in kurban olduğu, Web3 hizmetlerinin suçlu olduğu ve "kötü hacker'ların" tek suçlu olduğu bir anlatı.
Bybit bu olayda kanıtlanmış tek suçlu taraftır. Diğer herkesin rolü ise kanıtlanmayı veya çürütülmeyi bekliyor.
(Ve unutmayın, Mt.Gox da çok konuştu ama hiçbir zaman gerçekten önemli bir şey ortaya koymadı).
