2 ट्रिलियन वॉन के Bybit हैक: operational security विफलता के युग का आगमन

 (blog.trailofbits.com)
3 पॉइंट द्वारा GN⁺ 2025-02-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 21 फ़रवरी 2025 को Bybit एक्सचेंज में multisig cold wallet हैक हो गया और लगभग 1.5 अरब डॉलर मूल्य की cryptocurrency बाहर निकल गई
  • हैकर्स ने multiple signers के डिवाइस हैक किए और wallet interface में signers को दिखाई देने वाली सामग्री से छेड़छाड़ की
  • signers ने यह समझते हुए कि वे सामान्य transaction कर रहे हैं, हैकर की इच्छा के अनुसार signature data उपलब्ध करा दिया
  • यह संकेत देता है कि हाल के centralized exchange हैक अब code vulnerability पर नहीं, बल्कि operational और human security कमजोरियों को निशाना बनाने की दिशा में बदल रहे हैं

हाल के समान हैक मामले

  • WazirX एक्सचेंज (जुलाई 2024): 230 मिलियन डॉलर का नुकसान
  • Radiant Capital (अक्टूबर 2024): 50 मिलियन डॉलर का नुकसान
  • Bybit एक्सचेंज (फ़रवरी 2025): 1.5 अरब डॉलर का नुकसान

उत्तर कोरियाई हैकिंग संगठन से संबंध

  • Arkham Intelligence और ZachXBT के विश्लेषण के अनुसार, इस हमले की उत्तर कोरियाई हैकर संगठन से संबद्धता की पुष्टि हुई है
  • उत्तर कोरिया के Reconnaissance General Bureau (RGB) के तहत TraderTraitor, Jade Sleet, UNC4899, Slow Pisces जैसे state-sponsored hacking groups शामिल हैं
  • RGB हैकर संगठनों के हमले के तरीके
    • social engineering campaign के ज़रिये system administrators, developers और finance team कर्मचारियों को निशाना बनाना
    • customized recruitment fraud और phishing attacks के माध्यम से प्रमुख कर्मियों को संक्रमित करना
    • multi-platform malware का उपयोग कर Windows, MacOS और विभिन्न cryptocurrency wallets को संक्रमित करना
    • यूज़र को दिखने वाली transaction screen से छेड़छाड़ कर signature के लिए उकसाना

मौजूदा security systems निष्प्रभावी क्यों हो रहे हैं

  • हमलावर बार-बार के हमलों के ज़रिये अपने tools और techniques को लगातार बेहतर बना रहे हैं
  • सामान्य security measures से बचाव कठिन होने के कारण:
    • जिन संगठनों की operational security कमज़ोर है, वे बड़े जोखिम में हैं
    • multisig system तक से छेड़छाड़ संभव है
    • ऐसे attack techniques का उपयोग हो रहा है जिन्हें पारंपरिक security solutions (EDR, firewall आदि) से पहचानना कठिन है

cryptocurrency security की नई हक़ीक़त

  • केवल मौजूदा smart contract security को मजबूत करना पर्याप्त नहीं है
  • operational security failure सबसे बड़ा ख़तरा बन गया है
  • कंपनियों को इस आधार पर security strategy बनानी होगी कि हैक होना संभव है

कंपनियों को अनिवार्य रूप से अपनानी चाहिए ऐसी security strategies

  • infrastructure separation
    • transaction signing systems को सामान्य operational network से physical/logical रूप से अलग रखना चाहिए
    • dedicated hardware और network, तथा कड़े access controls लागू किए जाने चाहिए
  • Defense-in-Depth
    • hardware wallets, multisig और transaction verification tools को मिलाकर composite security system तैयार करना
    • single security measure नहीं, बल्कि layered security strategy आवश्यक है
  • organizational स्तर की तैयारी
    • operational और technical threat modeling करना
    • external security audits और assessments नियमित रूप से करना
    • security training और hack response simulation समय-समय पर चलाना
    • स्पष्ट incident response plan बनाना और उसका नियमित परीक्षण करना

Trail of Bits की security guide

निष्कर्ष: अब पारंपरिक security से बचाव संभव नहीं

  • Bybit हैक घटना दिखाती है कि cryptocurrency security एक नए चरण में प्रवेश कर चुकी है

  • operational security को मजबूत किए बिना बड़े हैक से बचना संभव नहीं

  • security researcher Tayvano का कड़ा बयान मौजूदा स्थिति को सटीक रूप से समझाता है:

    > "एक बार डिवाइस संक्रमित हो जाए तो खेल खत्म है। अगर key hot wallet या AWS में है, तो वह तुरंत हैक हो जाएगी। अगर key cold wallet में भी हो, तो हैकर को बस थोड़ा और प्रयास करना पड़ेगा। किसी भी हालत में अंततः हैक हो ही जाएगा।"

कंपनियों को अभी क्या करना चाहिए

  • operational security risk assessment करना
  • Air-Gapped signing infrastructure लागू करना
  • ऐसे security team के साथ काम करना जिसे state-sponsored hacking groups से निपटने का अनुभव हो
  • incident response plan बनाना और उसका नियमित परीक्षण करना

> "अगला 1 अरब डॉलर का हैक केवल समय का सवाल है; तैयारी न होने पर नुकसान अपरिहार्य है"

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-02-23
Hacker News की राय

  • हाल की संबंधित घटना: Bybit को हैक में 1.5 अरब डॉलर का नुकसान हुआ

    • हमलावरों ने multi-signature cold storage wallet से लगभग 1.5 अरब डॉलर चुरा लिए
    • हमलावरों ने कई signers के डिवाइस compromise कर दिए, और wallet interface में signers को जो दिख रहा था उसमें हेरफेर किया, ताकि वे यह मानते रहें कि वे एक सामान्य transaction कर रहे हैं, जबकि इस दौरान आवश्यक signatures इकट्ठे कर लिए गए

  • अगर hackers remote access के जरिए 'wallet interface में signers को जो दिख रहा है उसमें हेरफेर' कर सकते हैं, तो यह cold storage जैसा नहीं लगता

  • multi-signature interaction में हैक होने के तीन तरीके:

    • multi-signature smart contract compromise हो जाए
    • sign करने वाला computer compromise हो जाए
    • इस्तेमाल किया जाने वाला hardware wallet (ledger, trezor) compromise हो जाए

  • Gnosis Safe नाम का multi-signature contract बहुत मजबूत साबित हुआ है, और hardware wallets पर हमला करना बहुत कठिन है. अभी की कमजोरी computer है

  • crypto कंपनियों को signing के लिए अधिक locked-down dedicated devices की ओर जाना होगा, और hardware wallet screen पर जो दिखाया जाता है उसे वास्तव में verify करने के तरीके से इस समस्या को हल करना होगा

  • online security की दुनिया बहुत अव्यवस्थित है. इंजीनियरिंग के दूसरे क्षेत्रों में शायद ही कभी ऐसी स्थिति होती है जहां किसी विदेशी देश द्वारा बनाई गई चीजों को स्पष्ट रूप से निशाना बनाया जाता हो

    • उदाहरण के लिए, ऊंची इमारतों को लगातार bombardment झेलने के लिए design नहीं किया जाता
    • कारों को भी tank shells झेलने के लिए design नहीं किया जाता
    • अगर North Korea missile से लोगों को मार दे या छोटी इमारतें नष्ट कर दे, तो सार्वजनिक आक्रोश और तेज़ सैन्य प्रतिक्रिया होगी

  • लेकिन online दुनिया में स्थिति अलग है. North Korea अपनी इच्छा के अनुसार systems पर हमला कर सकता है, और मुख्य प्रतिक्रिया यह होती है: "तुम्हें इससे अधिक सुरक्षित system बनाना चाहिए था"

    • Bybit के लोग और अधिक सावधान हो सकते थे, लेकिन यह पहचानने की ज़रूरत है कि online environment कितना अव्यवस्थित है

  • इस पोस्ट में हैक कैसे हुआ, इस बारे में पर्याप्त विवरण नहीं है

    • tools की बात देखकर, क्या यह समझना सही है कि लोगों को malicious software download और run करने के लिए trick किया गया था?

  • हमलावरों ने कई signers के डिवाइस compromise कर दिए, और wallet interface में signers को जो दिख रहा था उसमें हेरफेर किया, ताकि वे यह मानते रहें कि वे एक सामान्य transaction कर रहे हैं, जबकि इस दौरान आवश्यक signatures इकट्ठे कर लिए गए

    • क्या किसी को पता है कि signers कितने थे?

  • crypto के बारे में लगभग कुछ नहीं जानने की स्थिति से एक गंभीर सवाल: इस हमले में वास्तव में पैसा किसने खोया? क्या बहुत सारे individuals ने?

  • मुझे याद है कि 9 साल पहले जब 5 करोड़ डॉलर चोरी हुए थे, तब ETH ने hard fork किया था

  • मेरी समझ से यह multi-signature इसलिए fail हुआ क्योंकि, ज़्यादातर security की तरह, सबने बस 'yes' दबा दिया और न तो communication किया, न जांच की, न सवाल पूछा. इससे multi-signature का उद्देश्य ही निरर्थक हो जाता है

  • मुझे सच में समझ नहीं आता कि वे इन्हें कई अलग-अलग wallets में क्यों नहीं बांटते