English
Español
Bybit borsasında gerçekleşen devasa hack saldırısı platformun güvenlik açıklarını gözler önüne serdi. Hacker’lar 1.5 milyar dolarlık Ethereum 
$1,808.93‘u (ETH) platformdan çaldı. Analist David Leung‘un açıklamaları saldırının nasıl gerçekleştiğini ve Bybit’in hangi hataları yaptığını ortaya koydu.
Bybit Hack’i Nasıl Gerçekleşti?
Bybit hack‘i “Blind Signing” olarak bilinen bir yöntemle gerçekleşti. Bu yöntem kullanıcıların tüm detayları görmeden işlemleri onaylamalarına izin verir. Buna göre hacker’lar Bybit’in ETH’leri tuttukları soğuk cüzdanına erişim sağlayarak fonları tek bir hesaba transfer etti. Daha sonra varlıkları birçok cüzdana yayarak izlerini kaybettirdi.
Saldırıda trojan ve arka kapı içeren iki farklı akıllı sözleşme kullanıldı. Bybit’in çoklu imza cüzdanını kandırmak için zararsız görünen bir ERC-20 transferi yapıldı. Ancak bu işlemin içinde gizli bir “delegate call” bulunuyordu. Bu çağrı cüzdanın ana sözleşmesini değiştirerek hacker’ların tam kontrol sağlamasına neden oldu.
Sonrasında hacker’lar ETH, mETH, stETH ve cmETH varlıklarını hızlıca başka cüzdanlara aktardı. Bybit, işlem gerçekleştikten sonra durumu fark edebildi ve bu esnada milyar dolarlık kayıp oldu.
Bybit Güvenlik Açıklarını Görmezden mi Geldi?
Uzmanlar, Bybit’in hack saldırısını engelleyebileceğini düşünüyor. Analist Leung’a göre şu önlemlerle hack saldırısı engellenebilirdi:
- Liste Dışı Sözleşme Uyarısı: Bybit, ERC-20 standartlarına uymayan bir kontrata transfer yapıldığını fark etmeliydi.
- Delegate Call Kontrol Mekanizması: Çoğu kripto para borsası bu yöntemle değişiklik yapılmasını engelleyen güvenlik önlemlerine sahiptir. Bybit’te bu mekanizmanın olmadığı anlaşıldı.
- Bağımsız Güvenlik Doğrulamaları: İmza öncesi ve sonrası ek kontroller yapılabilirdi.
Bybit, hack saldırısının ardından hacker’larını izini sürebilmek adına 50 bin adet ARKM coin değerinde ödül koydu. Ancak uluslararası hukukta kripto para ile ilgili düzenlemeler yetersiz olduğu için uzmanlar fonların geri alınmasının oldukça zor göründüğünü belirtiyor.
