Компании используют взлом Bybit для продвижения собственных решений безопасности

Получение прибыли от катастрофы: компании стремятся воспользоваться взломом Bybit

Взлом на сумму $1,4 миллиарда вызвал предсказуемую реакцию: приток компаний по безопасности и инфраструктуре, каждая из которых утверждает, что их технологии могли предотвратить атаку.

ФБР подтвердило, что взлом был делом группы Lazarus из Северной Кореи, которая нацелилась на настройку Safe{Wallet} Bybit. Ключевой деталью, раскрытой вчера, является то, что взлом произошел на машине разработчика Safe, а не на инфраструктуре Bybit, что позволило злоумышленникам внедрить вредоносный код в интерфейс подписания транзакций.

Данная уловка привела к тому, что подписанты Bybit слепо одобрили мошенническую транзакцию, опустошив ее крупнейший кошелек Ethereum.

Исследователь безопасности Тейлор Монахан подчеркнула, что эта атака была вполне предсказуема, учитывая давнюю проблему слепого подписания в индустрии криптовалют. Как она отметила: «В этом пространстве нет организации, которая серьезно относилась бы к безопасности, чтобы защититься от целенаправленного, постоянного, мотивированного противника, такого как Lazarus».

Ключевые выводы включают:

• Интерфейс Safe{Wallet} был скомпрометирован — интерфейс Bybit показывал ожидаемую транзакцию, но подписанты невольно одобрили абсолютно другую транзакцию.
• Слепое подписывание на устройствах Ledger стало окончательным провалом — последний подписант Bybit, Бен Чжоу, признался, что не проверял транзакцию полностью на своем аппаратном кошельке Ledger перед тем, как одобрить ее.
• Атака была нацелена на человеческий контроль — Lazarus не нужно было взламывать смарт-контракты или нарушать криптографическую безопасность; она просто воспользовалась доверием к интерфейсу.

Бывший CEO Binance CZ раскритиковал ответ Safe, подняв критические вопросы, такие как: почему машина одного разработчика имела доступ к процессу транзакций Bybit? Как процесс подписания Ledger не смог предотвратить это? И какие уроки безопасности должна извлечь индустрия?

Это все хорошие вопросы, на которые потребуется время, чтобы полностью ответить. Волнa компаний стремится войти в пространство.

С каждым высокопрофильным взломом компании устремляются в эту сферу, утверждая, что их продукт мог бы его остановить. Некоторые решают конкретную проблему — безопасную проверку транзакций, в то время как другие захватывают нарратив для маркетинга.

OISY (кошелек на базе Dfinity)

Утверждение: Расширения браузера и управление приватными ключами являются слабыми звеньями. OISY устраняет их, работая полностью на блокчейне.

Реальность: Атака не имела ничего общего с расширениями браузера или раскрытием приватных ключей — это было слепое подписывание. Архитектура OISY может быть новаторской, но она не решает проблему, которая вызвала этот взлом.

Impossible Cloud Network (децентрализованное облачное хранилище)

Утверждение: Централизованные облачные услуги (такие как AWS) были корнем проблемы.

Реальность: Хотя децентрализованное облачное хранилище может уменьшить поверхности атаки, Bybit не был взломан через AWS. Проблема заключалась в манипуляции пользовательским интерфейсом Safe и слепом подписывании — не в выборе поставщика облачного хостинга.

Cubist (безопасность подписания на базе оборудования)

Утверждение: Принуждение к строгим политикам подписания, таким как предодобренные адреса, задержки управления и многофакторная аутентификация, заблокировало бы этот взлом.

Реальность: Это действительно актуально. Если бы Bybit ввел ограничения на подписывание, Lazarus не смог бы обмануть его на слепое подписывание вредоносной транзакции.

Fireblocks (безопасность на основе MPC и принудительное соблюдение политик транзакций)

Утверждение: Модель безопасности Bybit была принципиально неисправной — требование слепого подписывания Ledger в сочетании с уязвимостью пользовательского интерфейса Safe оставило его открытым для атак. Fireblocks утверждает, что его инфраструктура на основе MPC, движки политик и проверка транзакций в реальном времени снизили бы этот риск.

Реальность: Это утверждение является одним из более обоснованных ответов. Принудительное соблюдение политик Fireblocks блокировало бы произвольные одобрения, требуя предварительно определенные правила транзакций, которые остановили бы неожиданные транзакции — даже если подписанты будут обмануты.

Тем не менее, существует и риск, как выразилась Тейлор Монахан в своем характерном саркастическом стиле. «Эти шикарные мультиподписи, полукустодиальные, MPC и так далее... делают вашу поверхность атаки БОЛЬШЕЙ, а не МЕНЬШЕЙ».

Настоящий урок заключается в том, что доверие к пользовательскому интерфейсу является самой большой уязвимостью в области безопасности. Атака на Bybit не касалась смарт-контрактов, децентрализации или безопасности приватных ключей — речь шла о слепом доверии к скомпрометированному пользовательскому интерфейсу.

• Строгие политики подписания транзакций
• Обязательная проверка транзакций на аппаратных кошельках
• Задержки управления и многоуровневые одобрения