Bybit, हैकिंग में $1.5B (2.1 ट्रिलियन वॉन) का नुकसान; CEO बोले, "नुकसान की भरपाई संभव"

 (tradingview.com)
1 पॉइंट द्वारा GN⁺ 2025-02-23 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • क्रिप्टोकरेंसी एक्सचेंज Bybit को लगभग 1.46 बिलियन डॉलर के "संदिग्ध निकासी" का सामना करना पड़ा
  • संबंधित वॉलेट ने 401,346 ETH (लगभग 1.1 बिलियन डॉलर) और stETH (staked ETH) आदि को एक नए वॉलेट में ट्रांसफर किया
  • नया वॉलेट फिलहाल mETH और stETH को decentralized exchanges पर liquidate कर रहा है, और अब तक लगभग 200 मिलियन डॉलर मूल्य के stETH की बिक्री की पुष्टि हुई है
  • Bybit के CEO Ben Zhou ने X पर बताया कि "एक विशेष ETH cold wallet हैकर के नियंत्रण में चला गया और उसमें मौजूद सारा ETH ट्रांसफर कर दिया गया"
    • हालांकि उन्होंने यह भी जोड़ा कि "बाकी cold wallets सुरक्षित हैं, और सभी withdrawals सामान्य रूप से चल रहे हैं"
  • 1.46 बिलियन डॉलर का यह नुकसान अब तक की सबसे बड़ी क्रिप्टोकरेंसी हैकिंग घटना के रूप में दर्ज हो सकता है
    • पिछली बड़ी हैकिंग घटनाओं की तुलना:
      • Mt. Gox हैक (2014): 470 मिलियन डॉलर का नुकसान
      • CoinCheck हैक (2018): 530 मिलियन डॉलर का नुकसान
      • Ronin Bridge हैक (2022): 650 मिलियन डॉलर का नुकसान
    • हैकिंग की खबर के बाद Bitcoin (BTC) 1.5% और Ethereum (ETH) 2% से अधिक गिर गए

Bybit CEO के आधिकारिक बयान और टिप्पणियों में दी गई व्याख्या शामिल

  • Bybit के CEO ने X पर घोषणा की कि ETH multisig cold wallet ने warm wallet को ट्रांसफर किया
    • लेकिन यह विशेष transaction "masked" था, इसलिए signers को दिखने वाले UI में सही address दिखाई दे रहा था
    • URL भी सुरक्षित signing service @safe (https://safe.global/wallet) के रूप में दिख रहा था
    • लेकिन वास्तविक signing message ETH cold wallet के smart contract logic को बदलने वाला था, जिसके परिणामस्वरूप हैकर ने cold wallet पर नियंत्रण कर लिया और सारा ETH ट्रांसफर कर दिया
  • ज़्यादातर hardware wallets EVM smart contract transactions को interpret नहीं कर पाते
    • hardware wallets "blind signing" पद्धति का उपयोग करते हैं, और यह मानते हैं कि signer को दिखने वाली स्क्रीन और वास्तव में sign किए जा रहे binary data में मेल है
    • CEO के अनुसार सही URL की पुष्टि की गई थी, और कई signers ने अलग-अलग स्थानों से अलग-अलग devices का उपयोग करके sign किया था
    • लेकिन सभी signers के UI में छेड़छाड़ की गई थी, जो एक अत्यंत परिष्कृत हमले की ओर संकेत करता है
  • संभावित attack vectors को लेकर अनुमान
    • signing link में छेड़छाड़
      • संभव है कि signing link पहुँचने की प्रक्रिया के दौरान बदला गया हो और IDN homograph domain का उपयोग करने वाले phishing page की ओर ले गया हो
      • या यह भी संभव है कि वास्तविक safe.global साइट script injection attack के प्रति असुरक्षित रही हो और उसने manipulated UI दिखाया हो
    • server-side attack
      • संभव है कि Bybit के servers हैक कर लिए गए हों और signers को manipulated page दिया गया हो
    • client-side attack
      • संभव है कि signers के browsers में malware डाला गया हो, जिसने UI में छेड़छाड़ की हो
    • network/DNS attack
      • संभव है कि DNS hijacking या गलत तरीके से जारी किए गए TLS certificates का उपयोग कर उपयोगकर्ताओं को नकली साइट पर भेजा गया हो
  • निष्कर्ष: लंबे समय तक योजना बनाकर किया गया परिष्कृत हमला संभव
    • यह हैकिंग Bybit की आंतरिक प्रणालियों की लंबे समय तक निगरानी कर और प्रक्रियाओं का विश्लेषण करने के बाद अंजाम दी गई लगती है
    • यह केवल साधारण phishing attack नहीं, बल्कि कंपनी की आंतरिक signing process को सटीक रूप से समझने के बाद किया गया लक्षित हमला प्रतीत होता है
    • आगे आधिकारिक hacking analysis report सार्वजनिक होने पर हमले के तरीकों का और अधिक विस्तृत खुलासा होने की उम्मीद है

संबंधित पढ़ाई

2 टिप्पणियां

 
GN⁺ 2025-02-23
Hacker News की राय
  • Trail of Bits के ब्लॉग में इस घटना की security failure के बारे में संबंधित जानकारी है
  • दो लेखों में जानकारी और अटकलें हैं, लेकिन तकनीकी details जानना चाहता हूँ
    • उदाहरण के लिए, क्या client software compromise हुआ था, क्या multisig keyholder social engineering के आगे झुक गए थे, और क्या signer air-gapped machine या hardware device का उपयोग कर रहे थे
  • यह सवाल है कि Bybit 1.5 अरब डॉलर के नुकसान की भरपाई कैसे कर सकता है
    • क्या उनके पास सच में इतना profit है, या वे इसे MtGox-style तरीके से सुलझाने की कोशिश कर रहे हैं
  • मुझे नहीं पता कि crypto exchange कैसे काम करता है
    • सोच रहा हूँ कि क्या कोई इसे आसान भाषा में समझा सकता है
    • यह भी जानना चाहता हूँ कि क्या cold storage wallet में users का ETH शामिल था
    • अगर हाँ, तो फिर सवाल है कि crypto exchange users की मंजूरी के बिना transaction execute कर सकने वाले wallet में users का ETH क्यों रखता है
    • सामान्य तौर पर, exchange चलाने के लिए इतना बड़ा cold storage wallet क्यों चाहिए, यह भी जानना चाहता हूँ
    • यह भी सोच रहा हूँ कि उनके पास ऐसे कौन-से assets हैं जिनसे वे इस नुकसान की भरपाई कर सकते हैं
  • Bybit के बारे में कुछ और जानकारी भी है
    • Bybit कनाडा में legal नहीं है
    • Bybit की शुरुआत सिंगापुर में हुई थी, और सिंगापुर crypto और blockchain technology का global hub है
    • Bybit को safe बताने वाली और unsafe बताने वाली, दोनों तरह की जानकारी मिली-जुली है
  • अगर वह exchange से connected है, तो वह cold wallet नहीं है
  • "final transaction" जैसी कोई चीज़ होनी चाहिए, जिसमें पहली transaction mine होने के बाद sender और receiver दोनों sign करें
    • sign न होने पर funds वापस हो जाएँ
    • इससे key leak रुकता नहीं है, लेकिन गलत address पर भेजने से बचा जा सकता है
  • मैं crypto पर भरोसा करता हूँ, लेकिन ऐसा system जिसमें 1.5 अरब डॉलर बिना किसी warning के दूसरे account में भेजे जा सकें, उसे गंभीर नहीं माना जा सकता
  • सोच रहा हूँ कि क्या कोई बता सकता है कि Bybit असल में है क्या
    • hack घोषित होने पर मैंने इसे search किया, लेकिन और ज़्यादा confusion हुआ
    • ज़्यादातर जानकारी इसे "scam" कहती है
  • यह कहा जा रहा है कि "बाकी सभी cold wallets सुरक्षित हैं, इसलिए निश्चिंत रहें"
    • इस पर भरोसा करना मुश्किल है
  • crypto exchange WazirX से लगभग 30 करोड़ डॉलर की hacking हुई थी
    • जुलाई 2024 की hacking के बाद CEO पर कोई कार्रवाई नहीं हुई
    • वह दुबई में है, और उसे सिंगापुर सुप्रीम कोर्ट से funds को average out करके users में बाँटने की मंजूरी मिल गई है
    • कंपनी/CEO के खिलाफ कोई कार्रवाई नहीं हुई, और वह दूसरी company/exchange शुरू करने की तैयारी कर रहा है