'Penandatanganan buta adalah masalah, tetapi bukan ahli tersangka utama' mengatakan di Bybit $ 1,4 miliar saga
Aneirin Flynn, co-founder dan CEO Failsafe, berbicara dengan crypto.information tentang eksploitasi BYBIT, langkah-langkah pencegahan di masa depan, dan mengapa rollback Ethereum tidak layak.
Harga cryptocurrency jatuh mengikuti salah satu pencurian cyber terbesar dalam sejarah keuangan, seperti kelompok Lazarus Korea Utara dilanggar Ethereum Bybit (Eth) Dompet dingin, mencuri lebih dari 400.000 Ethereum senilai $ 1,4 miliar pada saat itu.
Ben Zhou, CEO BITBIT, dengan cepat mempertahankan pertukaran. Komunitas itu terus mendapat informasi, para pemimpin industri memobilisasi sumber daya untuk membantu, dan BITBIT mengisi kesenjangan keuangan dalam beberapa hari, memulihkan penarikan ke standard.
Sementara upaya pemulihan maju melalui program hadiah dan pelacakan on-chain, peretas mencuci dana curian di ribuan alamat.
Hack, Exploit, atau sesuatu yang lain?
“Ini adalah serangan teknik sosial yang canggih,” kata CEO Failsafe Aneirin Flynn kepada Crypto.information. Flynn mengatakan peretas menggunakan taktik serupa melawan Radiant Capital, DMM Bitcoin, dan Wazirx.
Dalam kasus Bybit, Zhou mengatakan aktor-aktor buruk menipu UI multi-sig dan tim yang secara tidak sadar menandatangani transaksi jahat. Temuan dari an audit Dilakukan oleh Sygnia Labs dan Verichains menemukan bahwa agen Lazarus menggunakan akses yang dikompromikan dari pengembang dompet yang aman untuk menipu penandatangan multi-sig BITBIT.
Pelanggaran ini memungkinkan penjahat cyber yang didanai Korea Utara untuk mendorong melalui transaksi jahat, menyedot dana dari dompet dingin Bybit.
Penandatanganan buta multi-penandatanganan
Insiden itu menimbulkan kekhawatiran tentang penandatanganan buta, di mana pengguna menyetujui transaksi tanpa memverifikasi rincian sepenuhnya seperti alamat tujuan.
Menurut Zhou, ia adalah penandatangan terakhir dan menggunakan dompet perangkat keras untuk mengesahkan persetujuan terakhir. Namun, keterbatasan desain mencegah verifikasi transaksi penuh, pada akhirnya memungkinkan peretas untuk mencuri dana.
“Ya, penandatanganan buta adalah masalah, tetapi itu bukan tersangka utama dalam kasus ini,” kata Flynn ketika ditanya apakah itu memungkinkan pencurian tersebut. Sebaliknya, CEO Failsafe menunjuk ke kelompok aset virtual besar yang dikelola oleh sebagian besar pertukaran dan protokol terpusat di industri.
Bybit melukis goal di punggungnya karena menyimpan miliaran crypto dalam satu multi-sig dan Lazarus datang mengetuk, Flynn menyarankan. Memisahkan aset yang dikelola di berbagai alamat dapat membendung masalah, kata bos Failfafe.
Sementara kewaspadaan karyawan yang lebih besar dan perkakas keamanan transaksi yang kuat akan mengurangi kemungkinan pencurian yang sukses, memisahkan aset akan menjadi cara paling efektif untuk mengurangi daya tarik pertukaran kepada penyerang.
Aneirin Flynn, co-founder dan CEO Failsafe
Ethereum rollback bukan solusi untuk BYBIT
Maelstrom cio Arthur Hayes menyarankan blockchain Rolling Again Ethereum untuk membalikkan peretasan BITBIT, sebuah langkah yang akan mengembalikan transaksi dan keseimbangan dompet ke keadaan pra-hack mereka.
Hayes berpendapat bahwa DAO Fork 2016 menetapkan preseden untuk ini terjadi. Peretas mencuri $ 60 juta dari Ethereum Dao pada saat itu, menyerang pukulan besar ke Ethereum, yang masih dalam masa pertumbuhan saat itu.
DAO kemudian memilih “perubahan negara yang tidak teratur” untuk mengurangi krisis. Ethereum dibagi menjadi dua-Ethereum Vintage, blockchain asli dengan kerugian Hack DAO, dan Ethereum, blockchain terbesar kedua saat ini.
Diskusi berumur pendek berdasarkan gagasan Hayes mencatat bahwa Hack DAO 2016, krisis eksistensial untuk Ethereum pada saat itu, sangat berbeda dari kerugian $ 1,4 miliar Bybit, bisa dibilang percikan di kolam ETH di pasar saat ini.
Flynn menyatakan bahwa Rolling Again Ethereum sekarang akan memecahkan terlalu banyak protokol dan kontrak pintar mengingat ukuran ekosistem ETH. “Rolling Again Ethereum secara teknis dimungkinkan melalui garpu yang keras tetapi praktis tidak mungkin sekarang karena ukuran, kompleksitas, dan desentralisasi jaringan.”