Tóm lại
Tôi bị sốc, kinh hoàng và thất vọng khi thấy các khái niệm dễ dàng bị bóp méo đến thế nào trong thế kỷ 21. Vụ tấn công Bybit 99% là do sự bất cẩn của nhóm CEX và chỉ có 1% là do kỹ năng của tin tặc.
Tuy nhiên, phương tiện truyền thông đã đảo ngược câu chuyện: họ nhấn mạnh rằng vụ tấn công được cho là do nhóm Lazarus thực hiện, mặc dù không có bằng chứng cụ thể nào (ngoại trừ những tuyên bố chưa được xác minh của zachxbt và Arham).
Dưới đây, tôi trình bày quan điểm của mình dựa trên các sự kiện để bảo tồn chúng—vì sự việc này chắc chắn sẽ đi vào lịch sử.
Sự thật số 1: Không có vụ hack nào cả
Nếu chúng ta phân biệt rõ ràng giữa hack , kỹ thuật xã hội và tấn công có chủ đích , thì rõ ràng là không có vụ hack thực sự nào xảy ra. Tôi xin trích dẫn :
“Không có khai thác mã. Không có khóa riêng bị rò rỉ. Những người ký đa chữ ký của Bybit đã chấp thuận các giao dịch. Họ nghĩ rằng họ đang ký một giao dịch thông thường. Thay vào đó, họ đang giao nộp toàn bộ ví lạnh của mình.”
Vậy thực sự đã xảy ra chuyện gì?
- Đội ngũ bảo mật của Bybit không đủ năng lực .
- Họ bỏ qua đòn tấn công của Radiant , vốn có hướng tấn công giống hệt nhau.
- Họ cố đổ lỗi cho Safe, các công ty khác và "những tin tặc độc ác".
Arkham và Bybit quá tập trung vào điểm thứ ba mà không đưa ra được bằng chứng thực sự nào.
Sự thật số 2: Hình dung thay thế thực tế
Gần như ngay lập tức, Arkham đã phát hành một công cụ theo dõi trực quan hiển thị tất cả các giao dịch liên quan đến "vụ hack": Arkham Explorer .
Vấn đề là gì? Hình ảnh trực quan này làm sao lãng vấn đề thực sự:
- Bybit đã mắc ba lỗi không thể tha thứ, nghĩa là những vụ "hack" tương tự có thể đã xảy ra trước đây, chỉ là ở quy mô nhỏ hơn.
- Nếu không so sánh những sự việc trong quá khứ, chúng ta không thể hiểu hết được phạm vi của vấn đề.
Sự thật số 3: Lazarus là một vật tế thần tiện lợi
Hãy nghĩ về điều này:
- Tổng giám đốc điều hành (là người ký cuối cùng) đã không xác minh các giao dịch.
- Đội ngũ an ninh không tồn tại hoặc hoạt động hoàn toàn không hiệu quả.
- Một cuộc tấn công tương tự đã xảy ra, và họ đã bỏ qua các dấu hiệu cảnh báo.
- Và bây giờ họ lại đổ hết mọi tội lỗi lên đầu Lazarus?
Có quan trọng không khi ai ở "Phía Bóng Tối" trong trường hợp này? Câu trả lời có thể không rõ ràng, nhưng không—nó không quan trọng.
Những điều rút ra ban đầu
Nhiều người khen ngợi Bybit vì "không chặn rút tiền", nhưng đây không phải là hành động thiện chí mà là nghĩa vụ của họ. Tiền trên CEX thuộc về người dùng, không phải sàn giao dịch.
Trong khi đó, Bybit đã khéo léo đổ lỗi cho Safe, buộc họ phải đưa ra tuyên bố công khai làm rõ rằng không phát hiện bất kỳ lỗ hổng nào: Tuyên bố an toàn .
Sau đó, Bybit bám vào câu chuyện của Lazarus, công bố kế hoạch liên quan đến cơ quan thực thi pháp luật—trong khi tiện thể bỏ qua thực tế rằng cuộc điều tra đầu tiên nên tập trung vào sự tắc trách nội bộ của chính họ.
Lập luận của tôi
Tôi thấy nghi ngờ về việc nhóm Lazarus được đưa vào câu chuyện này nhanh đến thế nào. Hoặc là:
- Một thực thể cực kỳ tinh vi hoạt động hoàn hảo mà không để lại dấu vết.
- Hoặc một nhóm mà "mọi người đều nhìn thấy và biết đến", nhưng bằng cách nào đó vẫn tiếp tục hoạt động trong bí mật.
Kịch bản thứ hai có vẻ khó xảy ra.
Nhưng quan trọng nhất, hãy thành thật mà nói:
- Bybit phải chịu 99% trách nhiệm cho vụ "hack" này do không duy trì được an ninh nội bộ và an ninh bên ngoài cũng như không chịu rút kinh nghiệm từ các cuộc tấn công trong quá khứ.
- Bybit đã vu khống các công ty Web3 khác tham gia vào cuộc tấn công này mà không đưa ra bất kỳ bằng chứng nào.
- Bybit tiếp tục bóp méo sự thật, mô tả đây là một vụ hack thay vì hành vi vô trách nhiệm.
Tôi không sử dụng Bybit hay bất kỳ CEX nào khác vì tôi tin rằng phi tập trung là hình thức bảo mật tốt nhất. Nhưng tôi cũng từ chối để phương tiện truyền thông tạo ra một câu chuyện sai lệch—một câu chuyện mà Bybit là nạn nhân , các dịch vụ Web3 phải chịu trách nhiệm và "tin tặc độc ác" là thủ phạm duy nhất.
Bybit là bên duy nhất bị chứng minh là có tội trong vụ việc này. Vai trò của những người khác vẫn chưa được chứng minh hoặc bị vạch trần.
(Và hãy nhớ rằng, Mt.Gox cũng nói rất nhiều nhưng chưa bao giờ thực sự đưa ra bất cứ điều gì đáng kể).