Geçtiğimiz ay, hackerlar kripto borsası Bybit'ten piyasanın "Şimdiye kadarki en büyük dijital soygun" olarak adlandırdığı 1,5 milyar dolarlık inanılmaz bir parayı çaldılar. Şaşırtıcı olmayan bir şekilde, saldırının muazzam ölçeği birçok kişiyi kripto paraların güvenliğini bir kez daha sorgulamaya yöneltti ve eleştirmenler endüstrinin güvenlik açıklarını işaret etti. Ancak işin püf noktası şu: cüzdanlar işlerini yaptı. Sorun, altta yatan teknolojinin başarısızlığı değildi - 'insan' güvenliğinin başarısızlığıydı.
Tam olarak ne yanlış gitti?
Özetle, Bybit saldırısı blockchain güvenliğinin bir başarısızlığı değildi; saldırganlar aşılması imkansız bir sistemi kırmadılar; insanları manipüle ettiler…
Çok basit bir ifadeyle saldırı, şirketin çevrimdışı bir 'soğuk' cüzdandan (özel anahtarları internetten tamamen uzak tutarak siber tehditlerden korumak için tasarlanmış, son derece güvenli bir çevrimdışı depolama çözümü) günlük ticaret faaliyetleri için 'sıcak' bir cüzdana (işletme likiditesi için kullanılan, bazı güvenlik önlemlerini korurken fonlara daha hızlı erişim sağlayan yarı çevrimiçi bir cüzdan) rutin bir Ethereum transferi yaptığı sırada gerçekleşti.
Bilgisayar korsanları, Bybit'in bu transferleri kontrol etmesine yardımcı olan yazılım hesabına, bir geliştiricinin makinesini ele geçirerek erişim sağladı. Kullanıcı arayüzünü uzaktan değiştirdiler ve cüzdanın işlem onay sürecini manipüle eden kötü amaçlı kod enjekte ettiler. Genellikle bu transferleri onaylayan çalışanlar meşru işlemler gibi görünen şeyler gördüler, ancak sahne arkasında saldırganlar kuralları yeniden yazarak fonları doğrudan bilgisayar korsanlarının kontrolündeki hesaplara yönlendirdiler.
Daha da kötüsü, saldırıda 'kör imzalama' kullanıldı. İşlemleri onaylarken, çalışanlar ekranlarında tam olarak göremedikleri bir şeyi imzalıyor gibiydi. Saldırganlar bu süreci o kadar etkili bir şekilde manipüle ettiler ki çalışanlar rutin transferleri onayladıklarına inandılar.
UI manipülasyonu ve kör imzalama kombinasyonu neredeyse mükemmel bir aldatmaca yarattı. Ancak önemli olan, başarısız olanın kripto teknolojisi olmamasıydı. Felaket bir insan hatası vakasıydı.
Paralar geri alınabilir mi?
Saldırının, Kuzey Kore ekonomisini finanse etmek ve yaptırımlı programları desteklemek amacıyla kripto para borsalarını hedef alma geçmişi olan, Kuzey Kore devlet destekli bilgisayar korsanı grubu Lazarus Group tarafından gerçekleştirildiği iddia edildi.
Bu gruba karşı çalışan şey ise blockchain'in izlenebilirliğidir. Tüm gözler çalınan fonlarda ve her blockchain işlemi herkese açık şekilde görünürken, parayı bankaya yatırmak ilk etapta çalmak kadar zor olacaktır (her ne kadar bazı fonlar ayrıca izlenmesi çok daha zor olan Monero gibi gizlilik odaklı coin'lere dönüştürülmüş olsa da).
Önemlisi, Bybit müşterilerini rahatlatmak için hızlı bir şekilde harekete geçti ve likiditeyi geri kazandırmak için acil finansmanı güvence altına almak için hızlı bir şekilde çalıştı. Ayrıca, bu çalınan fonları tespit edip dondurmaya yardımcı olan kişilere veya firmalara %5 ödül sunan kapsamlı bir ödül programı başlattılar. Kripto dedektiflerini kahramanlara dönüştüren ilerlemeyi takip etmek için gerçek zamanlı bir liderlik tablosu oluşturuldu!
Gelecekteki saldırıları önleme
Bu saldırıdan çıkarılacak bir ders varsa, o da sektörün siber suçlara -insanları hedef alan siber suçlar da dahil- karşı daha güçlü korumalara ihtiyacı olduğudur.
Borsaların geleneksel güvenlik önlemlerinin ötesine geçmesi gerekiyor - 'Kör imzalama' tehlikesi açıkça ortaya konuldu ve kullanıcıların neyi onayladıklarını gerçekten görebilmeleri için bunun yerine net işlem imzalama yönteminin kullanılması gerekiyor.
Ek olarak, borsalar tohum ifadelerine göre birçok çevrede itibar kazanmaya başlayan çok taraflı hesaplama cüzdanlarını kullanmayı seçerse, bu tür imzalama için çok faktörlü kimlik doğrulama etkinleştirilebilir ve bu da anahtar uzlaşmalarını çok daha zor hale getirir. MPC cüzdanları, özel anahtar 'parçalarını' birden fazla taraf arasında dağıtır ve tek bir hata noktası riskini azaltır. Geleneksel tohum ifadelerinin aksine, MPC tek bir açık anahtarın hesabın tamamını tehlikeye atma riskini ortadan kaldırır.
Çalışanların daha iyi eğitime ihtiyacı var - Siber saldırı tatbikatları rutin olmalı ve kimlik avı farkındalık eğitimi sürekli olmalı. Saldırganlar daha akıllı hale geliyor ve borsaların ekiplerinin çok geç olmadan kırmızı bayrağı tanıyabilmelerini sağlamaları gerekiyor.
Gerçek zamanlı izleme standart haline gelmeli ; yapay zeka destekli güvenlik sistemleri, alışılmadık işlem modellerini anında işaretleyebilir, anında incelemeleri tetikleyebilir ve yetkisiz çekimleri önlemeye yardımcı olabilir.
Daha büyük resim
Bu saldırı, blockchain'in kendisindeki kusurları açığa çıkarmadı - ancak insan hatası ve aldatma risklerini açığa çıkardı. Ancak bu ayrım, genel halk için pek bir fark yaratmadı. Zarar verilmişti ve kripto güvenliğine olan güven bir darbe daha aldı.
Hackerlar gelmeye devam edecek... Asıl soru, kripto endüstrisinin Bybit'ten ders çıkarıp bir sonraki saldırıyı önlemek için şimdi harekete geçip geçmeyeceği? Eğer yapmazlarsa, bir milyar dolarlık başka bir ihlalin piyasayı tekrar sarsması an meselesi.
