लाओ गाओ "बायबिट चोरी और उत्तर कोरियाई हैकर्स" के बारे में बात करते हैं: लेनदेन का पता विकृत है और पहचानना मुश्किल है, और यह दोष है कि बहु-हस्ताक्षर कर्मियों ने इसकी पुष्टि नहीं की
जाने-माने YouTuber लाओ गाओ ने बायबिट चोरी की घटना का विश्लेषण करने के लिए कल एक वीडियो जारी किया, जिसमें कहा गया कि हैकर्स ने सोशल इंजीनियरिंग के माध्यम से बायबिट के बहु-हस्ताक्षर तंत्र में प्रवेश किया और तीन हस्ताक्षरकर्ताओं के प्राधिकरण को सफलतापूर्वक धोखा दिया। हालाँकि, इन तीन हस्ताक्षरकर्ताओं के पास वास्तव में इस दुर्भाग्यपूर्ण घटना से बचने के तरीके थे। हालाँकि, सुरक्षा विशेषज्ञों ने कहा कि लाओ गाओ की व्याख्या का एक हिस्सा गलत हो सकता है।
(प्रारंभिक सारांश: बायबिट से चुराए गए सभी 500,000 ईटीएच छिपे हुए बिक्री दबाव के कारण बह गए? सीईओ ने स्पष्ट करने के लिए एक घोषणा जारी की: नकदी प्रवाह का 77% पता लगाया जा सकता है)
(पृष्ठभूमि पूरक: बायबिट सीईओ ने व्यक्तिगत रूप से जीवन और मृत्यु के 72 घंटों का वर्णन किया: मुख्य वित्तीय अधिकारी ने कांपते हुए कहा कि उन्होंने 410,000 ईटीएच खो दिए और उनके पास एक आंतरिक पी-1 आपातकालीन तंत्र था...)
क्रिप्टोकरेंसी एक्सचेंज बायबिट पर पिछले महीने की 21 तारीख को हैकर्स ने हमला किया था। बायबिट के कोल्ड वॉलेट से लगभग 1.5 बिलियन अमेरिकी डॉलर का ETH चोरी हो गया, जो क्रिप्टोकरेंसी उद्योग के इतिहास में सबसे बड़ी चोरी बन गई। माना जाता है कि हैकिंग हमले के पीछे उत्तर कोरियाई हैकर समूह "लाज़रस ग्रुप" का हाथ है।
लाओ गाओ बायबिट चोरी की घटना के बारे में बात करते हैं
प्रसिद्ध YouTuber लाओ गाओ ने बायबिट चोरी की घटना और लाजर समूह का विश्लेषण करने के लिए कल एक वीडियो जारी किया। उन्होंने बताया कि बायबिट का कोल्ड वॉलेट एक बहु-हस्ताक्षर तंत्र का उपयोग करता है, जिसमें फंड को अनलॉक करने के लिए प्रभारी तीन व्यक्तियों को हस्ताक्षर करने की आवश्यकता होती है, जो सैद्धांतिक रूप से बेहद सुरक्षित है।
हालांकि, लाओ गाओ ने बताया कि हैकर्स ने पहले हस्ताक्षरकर्ता को निशाना बनाया और सोशल इंजीनियरिंग के माध्यम से उसके डिवाइस में मैलवेयर डाला। जब कर्मचारी ने लेनदेन इंटरफ़ेस खोला, तो यह कुछ भी असामान्य नहीं लगा, लेकिन वास्तव में "इस बैंक खाते का इंटरफ़ेस नकली है।" स्थानांतरण जानकारी संशोधित कर दी गई है. उसने बिना समझे ही हस्ताक्षर पूरा कर दिया। फिर दूसरे और तीसरे लोगों ने असामान्यता पर ध्यान दिए बिना हस्ताक्षर किए, जिसके परिणामस्वरूप बटुआ चोरी हो गया:
एक बार जब आपके पास तीन चाबियां होती हैं, तो बटुआ आपका (हैकर) होता है, और आप इसे अपनी इच्छानुसार ले सकते हैं।
लाओ गाओ ने कहा कि तीसरे हस्ताक्षरकर्ता बायबिट सीईओ बेन झोउ थे। जब उन्होंने हस्ताक्षर किए तो कोल्ड वॉलेट की स्क्रीन पर प्रदर्शित जानकारी कंप्यूटर की तरह हैक करने योग्य नहीं थी। तार्किक रूप से कहें तो, अगर वह छोटे स्क्रीन को ध्यान से देखता, तो उसे कुछ असामान्य और हस्ताक्षरित नहीं दिखता, और अंत में उसे चोरी नहीं किया जाता:
लेकिन उसने ध्यान क्यों नहीं दिया? यह उसकी गलती नहीं है. यह भी आभासी मुद्रा का एक दोष है। आभासी मुद्रा का खाता गुमनाम है. हमारे खातों के विपरीत, एक खाता संख्या और एक नाम मेल खाना चाहिए, है ना? यदि आप झांग सैन और ली सी को देखेंगे, तो आपको एक नज़र में पता चल जाएगा कि नाम गलत हैं, और आपको एक समस्या मिलेगी।
आभासी मुद्रा गुमनाम होती है और इसमें केवल एक खाता संख्या होती है। और यह अकाउंट नंबर कोई 6 अंकों की संख्या या 8 अंकों की संख्या नहीं है, बल्कि दर्जनों विकृत संख्याओं की एक लंबी श्रृंखला है। हर कोई समान है, इसलिए लोगों से एक-एक करके पुष्टि करने के लिए कहना अवास्तविक है। वे सभी बिल्कुल एक जैसे दिखते हैं।
इसके अलावा, वह अक्सर इस तरह से इस मामले की पुष्टि करते हैं, इसलिए उन्हें संदेह नहीं होगा कि ये दोनों नंबर गलत हैं, और फिर पुष्टि करने के लिए क्लिक करें। परिणामस्वरूप, प्रभारी शीर्ष व्यक्ति ने भी पुष्टि पर क्लिक किया, और अंततः धनराशि स्थानांतरित कर दी गई। अगर इस बात की पुष्टि AI से हो जाए तो समस्या छोटी हो सकती है.
सूचना सुरक्षा विशेषज्ञों ने बताया कि लाओ गाओ को गलतफहमी थी
हालांकि, सुरक्षा विशेषज्ञों ने डोंगज़ोंग को बताया कि लाओ गाओ ने कहा कि क्रिप्टोकरेंसी का नुकसान यह है कि विकृत पते के साथ लेनदेन की पुष्टि करना मुश्किल है। बायबिट में तीन बहु-हस्ताक्षर वाले लोग हैं, हर किसी के पास जांच करने का अवसर है, लाओ गाओ ने इस मामले को गलत समझा हो सकता है, चोरी-रोधी एसओपी वे सभी जांच करते हैं कि क्या गैंगस्टरों द्वारा अतिरिक्त लेनदेन किए गए हैं, और फिर हस्ताक्षरकर्ता को गलती से पुष्टिकरण दबाने देते हैं:
वास्तव में, समस्या यह है कि जिस बहु-हस्ताक्षर इंटरफ़ेस पर उन्होंने शुरुआत में हस्ताक्षर किया था वह नकली है। बेन झोउ ने लाइव प्रसारण में इस बात पर जोर दिया कि उनकी पुष्टि की गई थी, और लेजर पर डेटा की भी पुष्टि की गई थी (शुरुआत में शुरू की गई जानकारी के समान)।
कोल्ड वॉलेट पर जानकारी सत्यापित करके, आप यह नहीं जान सकते कि आपका लेनदेन सोशल इंजीनियरिंग हैकिंग से संबंधित है या नहीं। इसे शुरू से ही रोकने की जरूरत है. मल्टी-सिग्नेचर वॉलेट के शोषण का यह पहला मामला भी है, और केवल तीन लोगों द्वारा कोल्ड वॉलेट की जानकारी की पुष्टि करना रोकथाम के दायरे में नहीं है।
विशेषज्ञ ने बताया कि बायबिट चोरी की घटना ने उद्योग को सुरक्षा सुरक्षा मानकों की फिर से जांच करने के लिए प्रेरित किया, यानी, लेनदेन शुरू करने से पहले, बहु-हस्ताक्षर आरंभकर्ताओं को एक साफ डिवाइस और एक एसओपी चलाने की आवश्यकता होती है जो निवारक उपायों को मजबूत करने और समान त्रासदियों को दोबारा होने से रोकने के लिए सोशल इंजीनियरिंग के प्रभाव को समाप्त करता है।
*इस लेख ने एक अन्य सुरक्षा विशेषज्ञ हुली की अद्भुत अंतर्दृष्टि को भी आकर्षित किया। अधिक जानकारी के लिए कृपया उनका फेसबुक पोस्ट देखें।
