Lao Gao fala sobre "roubo de bybit e hackers norte-coreanos": O endereço da transação está distorcido e difícil de identificar, e a culpa é que o pessoal com múltiplas assinaturas não o confirmou

O conhecido YouTuber Lao Gao lançou um vídeo ontem para analisar o incidente de roubo do Bybit, dizendo que os hackers penetraram no mecanismo de múltiplas assinaturas do Bybit por meio de engenharia social e fraudaram com sucesso a autorização de três signatários. No entanto, estes três signatários tinham, na verdade, formas de evitar este infeliz incidente. No entanto, especialistas em segurança disseram que parte da interpretação de Lao Gao pode estar errada.
(Resumo preliminar: Todos os 500.000 ETH roubados da Bybit foram levados embora como pressão de venda oculta? O CEO emitiu um anúncio para esclarecer: 77% do fluxo de caixa pode ser rastreado)
(Suplemento de antecedentes: O CEO da Bybit relatou pessoalmente as 72 horas de vida e morte: o diretor financeiro disse, trêmulo, que perdeu 410.000 ETH e tinha um mecanismo de emergência P-1 interno...)

A exchange de criptomoedas Bybit foi atacada por hackers no dia 21 do mês passado. Cerca de US$ 1,5 bilhão em ETH foram roubados da carteira fria da Bybit, tornando-se o maior roubo na história da indústria de criptomoedas. Acredita-se que o grupo de hackers norte-coreano "Lazarus Group" esteja por trás do ataque de hackers.

Lao Gao fala sobre o incidente de roubo de Bybit

O conhecido YouTuber Lao Gao lançou um vídeo ontem para analisar o incidente de roubo de Bybit e o Grupo Lazarus. Ele destacou que a carteira fria da Bybit utiliza um mecanismo de múltiplas assinaturas, que exige a assinatura de três responsáveis para desbloquear os fundos, o que é teoricamente extremamente seguro.

No entanto, Lao Gao apontou que os hackers atacaram o primeiro signatário e implantaram malware em seu dispositivo por meio de engenharia social. Quando o funcionário abriu a interface de transação, não parecia nada incomum, mas na verdade “a interface desta conta bancária é falsa”. As informações de transferência foram modificadas. Ele completou a assinatura sem perceber. Então a segunda e a terceira pessoas assinaram sem perceber a anormalidade, resultando no roubo da carteira:

Depois de ter as três chaves, a carteira pertence a você (o hacker), e você pode pegá-la como quiser.

Lao Gao disse que o terceiro signatário foi o CEO da Bybit, Ben Zhou. Quando ele assinou, as informações exibidas na tela da carteira fria não eram hackeáveis como um computador. Logicamente falando, se ele olhasse atentamente para a telinha, poderia ter notado algo incomum e não assinado, e no final não teria sido roubado:

Mas por que ele não percebeu? Não é culpa dele. Esta também é uma desvantagem da moeda virtual. A conta da moeda virtual é anônima. Ao contrário das nossas contas, um número de conta e um nome devem corresponder, certo? Se você olhar para Zhang San e Li Si, saberá rapidamente que os nomes estão errados e encontrará um problema.

A moeda virtual é anônima e possui apenas um número de conta. E esse número de conta não é um número de 6 ou 8 dígitos, mas uma longa sequência de dezenas de números distorcidos. Todos são semelhantes, por isso não é realista pedir às pessoas que confirmem uma por uma. Todos eles parecem exatamente iguais.

Além disso, muitas vezes ele confirma este assunto desta forma, por isso não terá dúvidas de que estes dois números estão errados e depois clicará para confirmar. Como resultado, o responsável também clicou em confirmação e, finalmente, os fundos foram transferidos. Se este assunto for confirmado pela IA, o problema pode ser menor.

Especialistas em segurança da informação apontaram que Lao Gao teve um mal-entendido

No entanto, especialistas em segurança disseram a Dongzhong que Lao Gao disse que a desvantagem da criptomoeda é que é difícil confirmar transações com endereços ilegíveis. Bybit tem três pessoas com múltiplas assinaturas, todos têm a oportunidade de verificar, Lao Gao pode ter entendido mal este assunto, SOP anti-roubo Todos eles verificam se há transações extras preenchidas por gangsters e, em seguida, deixam o signatário pressionar acidentalmente a confirmação:

Na verdade, o problema é que a interface com múltiplas assinaturas em que eles se conectaram no início é falsa. Ben Zhou enfatizou na transmissão ao vivo que eles foram confirmados, e os dados do Ledger também foram confirmados (os mesmos iniciados no início).

Ao verificar as informações na carteira fria, você não pode saber se sua transação está relacionada a hackers de engenharia social. Isso precisa ser evitado desde o início. Este é também o primeiro caso de exploração de uma carteira com múltiplas assinaturas e não está no âmbito da prevenção por apenas três pessoas que confirmam as informações da carteira fria.

O especialista destacou que o incidente de roubo de Bybit levou a indústria a reexaminar os padrões de proteção de segurança, ou seja, antes de iniciar as transações, os iniciadores com múltiplas assinaturas precisam executar um dispositivo limpo e um SOP que elimine o impacto da engenharia social para fortalecer as medidas preventivas e evitar que tragédias semelhantes aconteçam novamente.

*Este artigo também atraiu os maravilhosos insights de outro especialista em segurança, Huli. Para mais informações, consulte sua postagem no Facebook.