Kripto tarihinin en büyük hırsızlığı için karmaşık bir 'kimlik avı': Bybit hesabından 1,4 milyar dolar uçtu

Geçtiğimiz cuma günü, kripto dünyası SEC'in Coinbase'e karşı açtığı davayı düşürmesinin ardından coşkulu bir durumdan derin bir depresyona geçti. Sektör, tarihi boyunca peşini bırakmayan bir kâbusu bir kez daha yaşadı: İşlem sayısına göre dünyanın ikinci büyük borsası olan ve dünya genelinde 40 milyondan fazla kullanıcısı bulunan Bybit, hack'lendi. Şirket, siber suçluların Ethereum soğuk cüzdanını boşalttığını ve o tarihte değeri 1,4 milyar dolardan fazla olan yaklaşık 401 token'ı çaldığını duyurdu. Sektör tarihindeki en büyük fon hırsızlığı yaşanması yatırımcılar arasında paniğe yol açtı.

Ne oldu?

Hackerlar Ethereum soğuk cüzdanına saldırdı: Soğuk cüzdan olarak da adlandırılan, kripto paralara erişim anahtarlarını saklayan ve internet bağlantısı olmayan bir sistemdir ve en güvenli olarak kabul edilir. Aslında bu, bir işlemi onaylamak için birden fazla yetkilendirme gerektiren çoklu imzalı bir cüzdandır. Cuma günü şirket yöneticileri, platformda daha fazla likiditeye ihtiyaç duyulduğunda rutin bir operasyonel sürecin parçası olarak soğuk cüzdanlarından sıcak cüzdana (anahtarları ağa bağlı yerlerde saklayan) para aktarıyorlardı.

Platformun CEO'su Ben Zhou, işlemi doğrulayan son kişiydi ancak amaçladığı işlemi doğrulayamadı. Saldırganlar, gelişmiş bir sistem aracılığıyla Bybit'in kullandığı cüzdan yönetim platformunu mükemmel şekilde taklit eden sahte bir arayüz tasarladılar. Bu arayüz, işlemlerin meşru görünmesini sağlayan doğrulanmış adresleri ve URL'leri gösteriyordu. İmzalayanlar işlemi onayladıktan sonra, bilgisayar korsanları parayı bilinmeyen bir cüzdana aktardı. Bu saldırı yöntemi o kadar etkiliydi ki Bybit’in güvenlik sistemleri anormallikleri ancak çok geç olduğunda tespit edebildi. Kullanıcıların kimlik hırsızlığı yoluyla kişisel bilgilerini çalmak veya çevrimiçi hesaplarına veya parolalarına erişmek isteyen bilgisayar korsanları tarafından yaygın olarak kullanılan bir teknik olan kimlik avının son derece gelişmiş bir versiyonu.

Saldırıdan kısa bir süre sonra araştırma şirketi Arkham Intelligence, fonların yeni adreslere taşınmaya başladığını ve satıldığını tespit etti . Bybit ile diğer platformlar arasındaki iş birliği bugüne kadar yaklaşık 43 milyon dolarlık çalıntı fonun bloke edilmesi ve dondurulmasıyla sonuçlandı. Diğerleri ise çeşitli karartma teknikleriyle aklanıyor. Bunlar arasında, bir kripto para birimini diğerine dönüştürüp birden fazla blok zincirinde taşımayı içeren zincir atlama da yer alıyor : TRM Labs, pazar akşamına kadar 160 milyon doların yasadışı kanallardan aktarıldığını tahmin ediyor.

Ethereum neden daha savunmasız?

Ethereum ağı, sunduğu sayısız kullanım örneği nedeniyle sektör tarafından oldukça beğeniliyor . Solidity kodu sayesinde aslında bu blockchain üzerinde akıllı uygulamalar ve sözleşmeler oluşturulabiliyor ve geliştirilebiliyor. Bit2Me'de eğitim direktörü olan Javier Pastor, "Ancak bunlar aynı zamanda bilgisayar korsanlarının faydalandığı bir güvenlik açığı da" diyor.

Blockstream Strateji Danışmanı Adolfo Contreras, sorunun Ethereum'un tasarımındaki kusurlardan kaynaklandığını söylüyor. Bu ağ, geniş yelpazede talimatları yürütme ve akıllı sözleşmeleri çalıştırma kapasitesine sahip sanal bir makine olan EVM'yi kullanıyor. Uzman, bu sistemin çok karmaşık olduğunu ve özel anahtarların saklanmasına ve korunmasına olanak tanıyan küçük bir cihaz olan donanım cüzdanı tarafından "desteklenemeyen" çok fazla farklı işlem ürettiğini düşünüyor: yani, EVM'nin ürettiği muazzam sayıda işlemi yorumlamak için yeterli kapasiteye sahip değil. "Sonuç olarak, bir EVM işlemi imzalanırken, işlem çok karmaşıksa ve cüzdan bunu yorumlayamıyorsa, kör imza atılır . "Cihazın küçük ekranında alfanümerik bir dizi görüyorsunuz ve temelde karşınıza çıkan her şeyi imzalıyorsunuz," diye açıklıyor.

Şirket ne yaptı?

Şirket, saldırıyı cuma günü saat 16:51'de sosyal medya hesabından duyurdu. Yaklaşık bir saat sonra CEO, canlı yayında kullanıcılar ve yatırımcıların sorularını yanıtlayarak, saldırının ayrıntılarını ve ortaya çıkan gelişmeleri aktardı. Her zaman diğer cüzdanların güvende olduğunu ve etkilenmediğini garanti etti: “ Bybit ödeme gücüne sahiptir. Bu kayıp telafi edilemese bile müşterilerimizin tüm varlıkları 1'e 1 oranında destekleniyor, kaybı karşılayabiliyoruz" diye ekledi.

Hemen sektörden işbirliği istediler ve çalınan paranın yüzde 10'unu bu parayı geri almalarına yardımcı olanlara bağışlayacaklarını söylediler. Diğer borsalar da harekete geçerek bu hacker'ın kullandığı cüzdanı ve çalınan paranın bir kısmının gönderildiği tüm cüzdanları engelledi. “Çalınan kripto paraları bozdurmak isteyen saldırganın yapacağı her türlü hareket borsa tarafından engellenecek. ATH21'in CEO'su ve kurucusu Cristina Carrascosa, "Bu cüzdanlar , blockchain sayesinde bilgisayar korsanlarının tüm hareketlerini izleyen bir yazılım kullanılarak etiketleniyor" şeklinde açıklıyor.

Bu sabah Ben Zhou, Bybit'in çalınan fonları yeniden doldurduğunu ve müşterilerinin mevduatlarının %100'ünü destekleyecek yeterli varlığa sahip olduğunu duyurdu. Şirket, büyük yatırımcılardan alınan krediler, mevduatlar ve token'ın doğrudan satın alınması yoluyla, cari fiyatlarla değeri 1,2 milyar doları aşan 446,87 birim Ethereum'u yeniden doldurduğunu duyurdu.

Saldırının arkasında kim var?

Çalınan fonların izini süren Arkham ve TRM Labs gibi analiz şirketleri, yaptıkları araştırmada saldırının arkasındaki suçlunun Kuzey Koreli Lazarus Grubu olduğunu ortaya koydu. "Saldırı, onların iyi bilinen oyun planını izledi ve Kuzey Koreli hackerlar , kolluk kuvvetlerinin erişiminin dışında faaliyet gösterdikleri için izlerini gizlemiyorlar," dedi TRM Labs'ın küresel politika ve hükümet işleri direktörü Ari Redbord. Kuzey Koreli hackerlar, tek bir günde 2024'te çaldıkları miktarı neredeyse iki katına çıkardılar: aslında, geçen yıl çalınan tüm fonların yaklaşık %35'inden sorumluydular ve bu da yüksek etkili operasyonlarda çalınan yaklaşık 800 milyon dolarlık kripto paraya denk geliyor. Chainalysis'in son araştırmasına göre, geçen yıl meydana gelen 47 olayda bu rakam 1,34 milyar dolara ulaştı.

Benzer durumlar yaşandı mı?

TRM Labs, sıcak cüzdanlara ve akıllı sözleşmelere saldırıların yaygın olduğunu, ancak soğuk cüzdanlarda bu ölçekte ihlallerin nadir olduğunu söylüyor. Ancak buna benzer başka saldırılar da yaşandı. Contreras, bu son saldırının kendisine 2017'deki Parity saldırısını hatırlattığını belirtiyor: O olayda, saldırganlar yazılımın akıllı sözleşmelerindeki bir güvenlik açığından yararlanarak çoklu imzalı cüzdanların yönetimine olanak sağlamıştı. Saldırganlar bazı cüzdanların kontrolünü ele geçirip paraları başka yere yönlendirdiler : O dönem değeri yaklaşık 30 milyon dolar olan 150.000 adet Ethereum'u çaldılar.

Bu son olayın ardından uzmanlar, platformların siber savunmaya daha fazla bütçe ayıracağını düşünüyor. Redbord, saldırganların bu miktarda parayı bu kadar hızlı bir şekilde hareket ettirebilmelerinin bir yıl önce hayal bile edilemeyeceğini belirtiyor. "Bu kara para aklama operasyonunun ölçeği ve hızı, devlet destekli bilgisayar korsanlarının kripto para ekosistemini nasıl istismar edebileceği, teknolojiden ve güçlü kara para aklama ağlarından nasıl faydalanabileceği konusunda tehlikeli bir evrimi işaret ediyor. Bu durum, kolluk kuvvetlerinde sınır ötesi işbirliğine acil ihtiyaç duyulduğunu gösteriyor.”

Ancak şirketin böylesi büyüklükteki bir kazaya etkili bir şekilde müdahale ettiğini kabul ediyorlar. “ Borsanın likiditesinde bile bir sorun yaratmayan 1.4 milyarlık bir hack’ten bahsediyoruz. Biraz düşündüğümüzde çok yüksek bir meblağdan bahsediyoruz ve o meblağ olmadan da faaliyetlerine devam edebilir. Carrascosa, “Bu sektörde çalışan herkesin hedeflediği standart şüphesiz budur” diyerek sözlerini tamamlıyor.