Bybit เสียหาย $1.5B (2.1 ล้านล้านวอน) จากการแฮ็ก, CEO ระบุ "ชดเชยความเสียหายได้"

 (tradingview.com)
1 คะแนน โดย GN⁺ 2025-02-23 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • เว็บเทรดคริปโต Bybit เผชิญกับ "การถอนที่น่าสงสัย" มูลค่าราว 1.46 พันล้านดอลลาร์
  • วอลเล็ตที่มีปัญหาได้โอน 401,346 ETH (ราว 1.1 พันล้านดอลลาร์) รวมถึง stETH (staked ETH) เป็นต้น ไปยังวอลเล็ตใหม่
  • ขณะนี้วอลเล็ตใหม่กำลัง เทขาย mETH และ stETH บนตลาดแลกเปลี่ยนแบบกระจายศูนย์ และยืนยันแล้วว่ามีการ ขาย stETH มูลค่าราว 200 ล้านดอลลาร์ ไปแล้วจนถึงตอนนี้
  • Ben Zhou ซีอีโอของ Bybit ระบุผ่าน X ว่า "cold wallet ของ ETH บางใบถูกแฮ็กเกอร์ยึด และ ETH ทั้งหมดถูกโอนไป"
    • อย่างไรก็ตาม เขาเสริมว่า "cold wallet อื่นยังปลอดภัย และการถอนทั้งหมดกำลังดำเนินการตามปกติ"
  • ความเสียหายมูลค่า 1.46 พันล้านดอลลาร์อาจถูกบันทึกเป็น เหตุการณ์แฮ็กคริปโตครั้งใหญ่ที่สุดในประวัติศาสตร์
    • เมื่อเทียบกับกรณีแฮ็กสำคัญในอดีต:
      • การแฮ็ก Mt. Gox (ปี 2014): สูญเสีย 470 ล้านดอลลาร์
      • การแฮ็ก CoinCheck (ปี 2018): สูญเสีย 530 ล้านดอลลาร์
      • การแฮ็ก Ronin Bridge (ปี 2022): สูญเสีย 650 ล้านดอลลาร์
    • หลังข่าวการแฮ็ก Bitcoin (BTC) ลดลง 1.5% และ Ethereum (ETH) ลดลงมากกว่า 2%

รวมแถลงการณ์อย่างเป็นทางการของ CEO Bybit และคำอธิบายในคอมเมนต์

  • CEO ของ Bybit ประกาศบน X ว่า ETH multisig cold wallet ได้ทำการโอนไปยัง warm wallet
    • แต่ ธุรกรรมนี้ถูก "masking" ไว้ ทำให้ UI ที่ผู้ลงนามเห็นแสดงที่อยู่ปลายทางที่ถูกต้อง
    • URL ก็แสดงเป็นบริการลงนามที่ปลอดภัย @safe (https://safe.global/wallet)
    • แต่ข้อความที่ลงนามจริงกลับเป็นการ เปลี่ยน logic ของ smart contract ของ ETH cold wallet และส่งผลให้แฮ็กเกอร์เข้าควบคุม cold wallet ก่อนโอน ETH ทั้งหมดออกไป
  • hardware wallet ส่วนใหญ่ไม่สามารถตีความธุรกรรม smart contract บน EVM ได้
    • hardware wallet ใช้วิธี "blind signing" โดยถือว่าสิ่งที่ผู้ลงนามเห็นบนหน้าจอตรงกับข้อมูลไบนารีที่ลงนามจริง
    • ตามคำกล่าวของ CEO มีการ ตรวจสอบ URL ที่ถูกต้อง และผู้ลงนามหลายคนได้ลงนามจากคนละสถานที่ด้วยอุปกรณ์คนละเครื่อง
    • แต่ UI ของผู้ลงนามทั้งหมดถูกบิดเบือน ซึ่งบ่งชี้ว่าเป็นการโจมตีที่ซับซ้อน
  • การคาดการณ์เกี่ยวกับวิธีการโจมตีที่เป็นไปได้
    • การดัดแปลงลิงก์สำหรับลงนาม
      • อาจมีการดัดแปลงลิงก์ระหว่างการส่งต่อ และพาไปยังหน้าฟิชชิงที่ใช้โดเมนแบบ IDN homograph
      • หรืออาจเป็นไปได้ว่าเว็บไซต์ safe.global จริงมีช่องโหว่ต่อการโจมตีแบบ script injection จนแสดง UI ที่ถูกดัดแปลง
    • การโจมตีฝั่งเซิร์ฟเวอร์
      • อาจเป็นไปได้ว่าเซิร์ฟเวอร์ของ Bybit ถูกแฮ็กและส่งหน้าที่ถูกดัดแปลงให้ผู้ลงนาม
    • การโจมตีฝั่งไคลเอนต์
      • อาจเป็นไปได้ว่ามีมัลแวร์ฝังอยู่ในเบราว์เซอร์ของผู้ลงนามและดัดแปลง UI
    • การโจมตีเครือข่าย/DNS
      • อาจใช้ DNS hijacking หรือใบรับรอง TLS ที่ออกผิดพลาดเพื่อล่อผู้ใช้ไปยังเว็บไซต์ปลอม
  • บทสรุป: อาจเป็นการโจมตีระยะยาวที่ซับซ้อน
    • การแฮ็กครั้งนี้ดูเหมือนจะเกิดขึ้นหลังจาก มีการเฝ้าติดตามระบบภายในของ Bybit เป็นเวลานานและวิเคราะห์กระบวนการทำงานก่อนลงมือ
    • มีสัญญาณว่าไม่ใช่เพียงการฟิชชิงทั่วไป แต่เป็น การโจมตีแบบออกแบบเฉพาะหลังจากทำความเข้าใจกระบวนการลงนามภายในองค์กรอย่างแม่นยำ
    • หากมีการเผยแพร่ รายงานวิเคราะห์การแฮ็กอย่างเป็นทางการ ในอนาคต ก็น่าจะทำให้เห็นรายละเอียดของวิธีโจมตีมากขึ้น

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
GN⁺ 2025-02-23
ความเห็นจาก Hacker News
  • มีข้อมูลที่เกี่ยวข้องเกี่ยวกับความล้มเหลวด้านความปลอดภัยของเหตุการณ์นี้อยู่ในบล็อกของ Trail of Bits
  • มีข้อมูลและการคาดเดาอยู่ในบทความสองชิ้น แต่อยากรู้รายละเอียดทางเทคนิค
    • ตัวอย่างเช่น อยากรู้ว่าซอฟต์แวร์ฝั่งไคลเอนต์ถูกเจาะหรือไม่, ผู้ถือกุญแจมัลติซิกยอมจำนนต่อการโจมตีแบบ social engineering หรือไม่, และผู้ลงนามใช้เครื่อง air-gapped หรืออุปกรณ์ฮาร์ดแวร์หรือไม่
  • สงสัยว่า Bybit จะชดเชยความเสียหาย 1.5 พันล้านดอลลาร์ได้อย่างไร
    • สงสัยว่าพวกเขามีกำไรมหาศาลขนาดนั้นจริงหรือไม่ หรือกำลังพยายามแก้ปัญหาแบบ MtGox
  • ไม่รู้ว่าศูนย์แลกเปลี่ยนคริปโตทำงานอย่างไร
    • สงสัยว่ามีใครอธิบายแบบง่ายๆ ได้ไหม
    • สงสัยว่า ETH ของผู้ใช้ถูกรวมอยู่ในวอลเล็ต cold storage หรือไม่
    • ถ้าใช่ ก็สงสัยว่าทำไมศูนย์แลกเปลี่ยนคริปโตถึงเก็บ ETH ของผู้ใช้ไว้ในวอลเล็ตที่สามารถทำธุรกรรมได้โดยไม่ต้องได้รับการอนุมัติจากผู้ใช้
    • โดยทั่วไปสงสัยว่าทำไมการดำเนินการศูนย์แลกเปลี่ยนจึงต้องมีวอลเล็ต cold storage ขนาดใหญ่ขนาดนั้น
    • สงสัยว่าพวกเขามีสินทรัพย์มาชดเชยความเสียหายนี้ได้อย่างไร
  • มีข้อมูลอื่นเกี่ยวกับ Bybit
    • Bybit ไม่ถูกกฎหมายในแคนาดา
    • Bybit เริ่มต้นในสิงคโปร์ และสิงคโปร์เป็นศูนย์กลางระดับโลกของคริปโตและเทคโนโลยีบล็อกเชน
    • มีทั้งข้อมูลที่บอกว่า Bybit ปลอดภัยและข้อมูลที่บอกว่าไม่ปลอดภัยปะปนกันอยู่
  • ถ้าเชื่อมต่อกับศูนย์แลกเปลี่ยน ก็ไม่ใช่ cold wallet
  • ควรมีสิ่งที่เหมือนกับ "ธุรกรรมขั้นสุดท้าย" ซึ่งหลังจากธุรกรรมแรกถูกขุดแล้ว ทั้งผู้ส่งและผู้รับต้องลงนาม
    • ถ้าไม่มีการลงนาม เงินก็ควรถูกคืน
    • แม้จะไม่สามารถป้องกันการรั่วไหลของกุญแจได้ แต่ก็น่าจะป้องกันการส่งไปยังที่อยู่ผิดได้
  • เชื่อในคริปโต แต่ระบบที่สามารถย้ายเงิน 1.5 พันล้านดอลลาร์ไปยังบัญชีอื่นได้โดยไม่มีคำเตือนใดๆ นั้นไม่น่าเชื่อถืออย่างยิ่ง
  • สงสัยว่ามีใครอธิบายได้ไหมว่า Bybit แท้จริงแล้วคืออะไร
    • ตอนที่มีการประกาศว่าโดนแฮ็ก ก็ลองค้นหาแล้วแต่ยิ่งสับสน
    • ข้อมูลส่วนใหญ่บอกว่าเป็น "การหลอกลวง"
  • มีคำพูดว่า "cold wallet อื่นทั้งหมดปลอดภัย ดังนั้นสบายใจได้"
    • ฟังแล้วยากจะเชื่อ
  • ศูนย์แลกเปลี่ยนคริปโต WazirX ถูกแฮ็กราว 300 ล้านดอลลาร์
    • หลังการแฮ็กในเดือนกรกฎาคม 2024 ก็ยังไม่มีการดำเนินการใดๆ กับ CEO
    • เขาอยู่ที่ดูไบ และได้รับการอนุมัติจากศาลสูงสิงคโปร์ให้เฉลี่ยเงินและแจกจ่ายให้ผู้ใช้
    • ไม่มีการดำเนินการใดๆ กับบริษัท/CEO และกำลังเตรียมเริ่มบริษัท/ศูนย์แลกเปลี่ยนอื่น