การแฮ็ก Bybit มูลค่า 2 ล้านล้านวอน: ยุคแห่งความล้มเหลวของความปลอดภัยเชิงปฏิบัติการได้มาถึงแล้ว
(blog.trailofbits.com)- เมื่อวันที่ 21 กุมภาพันธ์ 2025 cold wallet แบบ multisig ของเว็บเทรด Bybit ถูกแฮ็ก ทำให้คริปโตเคอร์เรนซีมูลค่าประมาณ 1.5 พันล้านดอลลาร์รั่วไหล
- แฮ็กเกอร์เจาะอุปกรณ์ของผู้ลงนามหลายราย และ บิดเบือนข้อมูลที่ผู้ลงนามเห็นบนอินเทอร์เฟซกระเป๋าเงิน
- ผู้ลงนามเข้าใจผิดว่ากำลังทำธุรกรรมตามปกติ จึงให้ ข้อมูลลายเซ็น ตามที่แฮ็กเกอร์ต้องการ
- สิ่งนี้บ่งชี้ว่ารูปแบบการแฮ็กเว็บเทรดแบบรวมศูนย์ในช่วงหลัง กำลังเปลี่ยนจากการโจมตีช่องโหว่ของโค้ด ไปสู่การ เล่นงานจุดอ่อนด้านความปลอดภัยเชิงปฏิบัติการและมนุษย์
กรณีแฮ็กคล้ายกันในช่วงหลัง
- เว็บเทรด WazirX (กรกฎาคม 2024): สูญเสีย 230 ล้านดอลลาร์
- Radiant Capital (ตุลาคม 2024): สูญเสีย 50 ล้านดอลลาร์
- เว็บเทรด Bybit (กุมภาพันธ์ 2025): สูญเสีย 1.5 พันล้านดอลลาร์
ความเชื่อมโยงกับกลุ่มแฮ็กเกอร์เกาหลีเหนือ
- ตามการวิเคราะห์ของ Arkham Intelligence และ ZachXBT การโจมตีครั้งนี้ ยืนยันว่ามีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์เกาหลีเหนือ
- มีส่วนพัวพันกับ กลุ่มแฮ็กที่ได้รับการสนับสนุนจากรัฐ ภายใต้ Reconnaissance General Bureau (RGB) ของเกาหลีเหนือ เช่น TraderTraitor, Jade Sleet, UNC4899, Slow Pisces
- วิธีโจมตีของกลุ่มแฮ็ก RGB
- ใช้ แคมเปญ social engineering เพื่อพุ่งเป้าไปที่ผู้ดูแลระบบ นักพัฒนา และพนักงานฝ่ายการเงิน
- ใช้ การหลอกสมัครงานแบบเฉพาะเจาะจงและการโจมตีแบบฟิชชิง เพื่อทำให้องค์กรติดมัลแวร์ในบุคลากรสำคัญ
- ใช้มัลแวร์ข้ามแพลตฟอร์มเพื่อโจมตี Windows, MacOS และกระเป๋าคริปโตหลากหลายประเภท
- บิดเบือนหน้าจอธุรกรรมที่ผู้ใช้เห็นเพื่อหลอกให้ลงนาม
เหตุใดระบบความปลอดภัยแบบเดิมจึงถูกทำให้ไร้ผล
- ผู้โจมตีปรับปรุงเครื่องมือและเทคนิคอย่างต่อเนื่องผ่านการโจมตีซ้ำๆ
- เหตุผลที่มาตรการความปลอดภัยทั่วไปป้องกันได้ยาก:
- องค์กรที่มีความปลอดภัยเชิงปฏิบัติการไม่เพียงพอ จะเผชิญความเสี่ยงสูงมาก
- แม้แต่ระบบ multisig ก็ยังถูกบิดเบือนได้
- ใช้เทคนิคการโจมตีที่ตรวจจับได้ยากด้วยโซลูชันความปลอดภัยแบบดั้งเดิมเดิมๆ (เช่น EDR, ไฟร์วอลล์)
ความเป็นจริงใหม่ของความปลอดภัยคริปโต
- การเสริมความปลอดภัยของ smart contract แบบเดิมเพียงอย่างเดียวไม่เพียงพออีกต่อไป
- ความล้มเหลวของความปลอดภัยเชิงปฏิบัติการ กลายเป็นปัจจัยคุกคามที่ใหญ่ที่สุด
- บริษัทต่างๆ ต้องสร้างกลยุทธ์ความปลอดภัยบนสมมติฐานว่าอาจถูกแฮ็กได้เสมอ
กลยุทธ์ความปลอดภัยที่องค์กรต้องนำมาใช้ให้ได้
- การแยกโครงสร้างพื้นฐาน
- ระบบลงนามธุรกรรมต้องแยกทางกายภาพ/ตรรกะออกจากเครือข่ายปฏิบัติการทั่วไป
- ใช้ฮาร์ดแวร์และเครือข่ายเฉพาะทาง พร้อมการควบคุมการเข้าถึงที่เข้มงวด
- การป้องกันหลายชั้น (Defense-in-Depth)
- ผสาน hardware wallet, multisig และเครื่องมือตรวจสอบธุรกรรม เพื่อ สร้างระบบความปลอดภัยแบบผสมผสาน
- ต้องใช้กลยุทธ์ความปลอดภัยแบบซ้อนทับ ไม่ใช่มาตรการเดียว
- มาตรการรับมือในระดับองค์กร
- ทำ threat modeling ทั้งด้านปฏิบัติการและด้านเทคนิค
- ดำเนินการตรวจสอบและประเมินความปลอดภัยจากภายนอกอย่างสม่ำเสมอ
- จัดการฝึกด้านความปลอดภัยและการจำลองรับมือการแฮ็กเป็นประจำ
- จัดทำแผนตอบสนองเหตุการณ์ที่เป็นรูปธรรมและทดสอบเป็นประจำ
คู่มือความปลอดภัยจาก Trail of Bits
- คู่มือสำคัญ:
บทสรุป: ความปลอดภัยแบบเดิมไม่อาจป้องกันได้อีกต่อไป
-
เหตุการณ์แฮ็ก Bybit แสดงให้เห็นว่าความปลอดภัยคริปโตกำลังก้าวเข้าสู่ระยะใหม่
-
หากไม่ยกระดับความปลอดภัยเชิงปฏิบัติการ ก็ไม่อาจหลีกเลี่ยงการแฮ็กครั้งใหญ่ได้
-
คำกล่าวอย่างหนักแน่นของนักวิจัยด้านความปลอดภัย Tayvano สะท้อนสถานการณ์ปัจจุบันได้อย่างชัดเจน:
"เมื่ออุปกรณ์ติดเชื้อครั้งหนึ่ง ก็จบเลย ถ้าคีย์อยู่ใน hot wallet หรือ AWS ก็จะถูกแฮ็กทันที แม้คีย์จะอยู่ใน cold wallet แฮ็กเกอร์ก็แค่ต้องพยายามเพิ่มขึ้นอีกนิด สุดท้ายก็จะถูกแฮ็กอยู่ดี"
สิ่งที่องค์กรต้องทำทันที
- ประเมินความเสี่ยงด้านความปลอดภัยเชิงปฏิบัติการ
- นำโครงสร้างพื้นฐานการลงนามแบบ Air-Gapped มาใช้
- ร่วมมือกับทีมความปลอดภัยที่มีประสบการณ์รับมือกลุ่มแฮ็กที่ได้รับการสนับสนุนจากรัฐ
- จัดทำแผนตอบสนองเหตุการณ์และทดสอบเป็นประจำ
"การแฮ็กมูลค่า 1 พันล้านดอลลาร์ครั้งถัดไปเป็นเพียงเรื่องของเวลา หากไม่เตรียมพร้อม ความเสียหายย่อมหลีกเลี่ยงไม่ได้"
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เหตุการณ์ที่เกี่ยวข้องล่าสุด: Bybit สูญเสียเงิน 1.5 พันล้านดอลลาร์จากการถูกแฮ็ก
ถ้าแฮ็กเกอร์สามารถ "บิดเบือนสิ่งที่ผู้ลงนามเห็นในอินเทอร์เฟซของกระเป๋าเงิน" ได้ผ่านการเข้าถึงระยะไกล แบบนี้ก็ดูไม่เหมือน cold storage
มี 3 วิธีที่การโต้ตอบแบบหลายลายเซ็นอาจถูกแฮ็กได้:
สัญญาแบบหลายลายเซ็นที่ชื่อ Gnosis Safe ดูเหมือนจะแข็งแกร่งมาก และ hardware wallet ก็โจมตีได้ยากมาก จุดอ่อนในตอนนี้คือคอมพิวเตอร์
บริษัทคริปโตจำเป็นต้องแก้ปัญหานี้ด้วยการย้ายไปใช้อุปกรณ์เฉพาะสำหรับการลงนามที่ถูกล็อกมากกว่าเดิม และตรวจสอบสิ่งที่แสดงบนหน้าจอของ hardware wallet จริง ๆ
โลกของความปลอดภัยออนไลน์ช่างวุ่นวายมาก ในสาขาวิศวกรรมอื่นแทบไม่มีกรณีที่ตั้งเป้ารับมือสิ่งที่สร้างโดยรัฐต่างชาติอย่างชัดเจน
แต่ในโลกออนไลน์สถานการณ์ต่างออกไป เกาหลีเหนือสามารถโจมตีระบบได้ตามต้องการ และปฏิกิริยาหลักกลับเป็น "น่าจะสร้างระบบให้ปลอดภัยกว่านี้"
โพสต์นี้ยังขาดรายละเอียดว่าการแฮ็กเกิดขึ้นได้อย่างไร
ผู้โจมตีเจาะอุปกรณ์ของผู้ลงนามหลายคน และบิดเบือนสิ่งที่ผู้ลงนามเห็นในอินเทอร์เฟซของกระเป๋าเงิน เพื่อรวบรวมลายเซ็นที่จำเป็นในขณะที่ผู้ลงนามเชื่อว่ากำลังทำธุรกรรมตามปกติ
คำถามจริงจังจากคนที่แทบไม่รู้อะไรเกี่ยวกับคริปโตเลย: ในการโจมตีครั้งนี้ ใครกันแน่ที่เป็นคนเสียเงินจริง ๆ? เป็นคนจำนวนมากไหม?
จำได้ว่าเมื่อ 9 ปีก่อน ตอนที่เงิน 50 ล้านดอลลาร์ถูกขโมยไป ETH เคยทำ hard fork
เท่าที่ผมเข้าใจ เหตุผลที่ multi-sig นี้ล้มเหลวก็เหมือนปัญหาความปลอดภัยส่วนใหญ่ คือทุกคนกด 'ใช่' แล้วก็ไม่ได้สื่อสาร ตรวจสอบ หรือถามอะไร ทำให้จุดประสงค์ของ multi-sig หมดความหมาย
ผมไม่เข้าใจจริง ๆ ว่าทำไมถึงไม่แยกสิ่งเหล่านี้ออกเป็นหลายกระเป๋าเงินที่แยกจากกัน