Bybit-Hack im Umfang von 2 Billionen Won: Das Zeitalter des Scheiterns der operativen Sicherheit ist angebrochen

(blog.trailofbits.com)

3 Punkte von GN⁺ 2025-02-23 | 1 Kommentare | Auf WhatsApp teilen

Am 21. Februar 2025 wurde bei der Börse Bybit eine Multisig-Cold-Wallet gehackt, wodurch Kryptowährungen im Wert von rund 1,5 Milliarden US-Dollar abflossen
Die Hacker kompromittierten die Geräte mehrerer Unterzeichner und manipulierten, was die Unterzeichner in der Wallet-Oberfläche zu sehen bekamen
Die Unterzeichner glaubten, eine normale Transaktion auszuführen, und lieferten dabei die vom Hacker gewünschten Signaturdaten
Das deutet darauf hin, dass sich die jüngsten Angriffe auf zentralisierte Börsen weg von Code-Schwachstellen und hin zu operativen und menschlichen Sicherheitslücken verlagern

Jüngste ähnliche Hack-Fälle

Börse WazirX (Juli 2024): Verlust von 230 Millionen US-Dollar
Radiant Capital (Oktober 2024): Verlust von 50 Millionen US-Dollar
Börse Bybit (Februar 2025): Verlust von 1,5 Milliarden US-Dollar

Verbindung zu nordkoreanischen Hackergruppen

Laut Analysen von Arkham Intelligence und ZachXBT wurde bestätigt, dass dieser Angriff mit nordkoreanischen Hackergruppen in Verbindung steht
Beteiligt sind staatlich unterstützte Hackergruppen unter dem Reconnaissance General Bureau (RGB) Nordkoreas, darunter TraderTraitor, Jade Sleet, UNC4899 und Slow Pisces
Angriffsmethoden der RGB-Hackergruppen
- Sie nehmen über Social-Engineering-Kampagnen Systemadministratoren, Entwickler und Mitarbeitende aus Finanzteams ins Visier
- Mit maßgeschneiderten Recruiting-Betrugsmaschen und Phishing-Angriffen infizieren sie Schlüsselpersonal
- Mithilfe plattformübergreifender Malware infizieren sie Windows, MacOS und verschiedene Kryptowallets
- Sie manipulieren die vom Nutzer angezeigte Transaktionsansicht, um Signaturen zu erschleichen

Warum bestehende Sicherheitssysteme außer Kraft gesetzt werden

Die Angreifer verbessern ihre Tools und Techniken durch wiederholte Angriffe kontinuierlich
Warum sich solche Angriffe mit üblichen Sicherheitsmaßnahmen nur schwer abwehren lassen:
- Organisationen mit schwacher operativer Sicherheit sind einem hohen Risiko ausgesetzt
- Selbst Multisig-Systeme lassen sich manipulieren
- Es kommen Angriffstechniken zum Einsatz, die sich mit traditionellen Sicherheitslösungen (EDR, Firewalls usw.) nur schwer erkennen lassen

Die neue Realität der Kryptowährungssicherheit

Es reicht nicht mehr aus, nur die Sicherheit von Smart Contracts zu stärken
Das Scheitern der operativen Sicherheit ist zum größten Bedrohungsfaktor geworden
Unternehmen müssen Sicherheitsstrategien entwickeln, die davon ausgehen, dass Angriffe möglich und wahrscheinlich sind

Sicherheitsstrategien, die Unternehmen unbedingt einführen müssen

Infrastrukturtrennung
- Signatursysteme für Transaktionen müssen physisch und logisch vom allgemeinen Betriebsnetz getrennt werden
- Einsatz dedizierter Hardware und Netzwerke sowie strenger Zugriffskontrollen
Mehrschichtige Verteidigung (Defense-in-Depth)
- Kombination aus Hardware-Wallets, Multisig und Tools zur Transaktionsprüfung, um ein mehrstufiges Sicherheitssystem aufzubauen
- Nicht eine einzelne Maßnahme, sondern eine überlappende Sicherheitsstrategie ist unverzichtbar
Organisatorische Gegenmaßnahmen
- Durchführung von Threat Modeling für operative und technische Bedrohungen
- Regelmäßige externe Sicherheitsaudits und Bewertungen
- Regelmäßige Security-Trainings und Simulationen zur Reaktion auf Angriffe
- Ausarbeitung konkreter Incident-Response-Pläne und regelmäßige Tests

Sicherheitsleitfäden von Trail of Bits

Wichtige Sicherheitsleitfäden:

Fazit: Mit herkömmlicher Sicherheit ist eine Abwehr nicht mehr möglich

Der Bybit-Hack zeigt, dass die Sicherheit von Kryptowährungen in eine neue Phase eingetreten ist
Ohne stärkere operative Sicherheit lassen sich großangelegte Hacks nicht verhindern
Die drastische Aussage der Sicherheitsforscherin Tayvano bringt die aktuelle Lage auf den Punkt:

> "Sobald ein Gerät kompromittiert ist, ist alles vorbei. Wenn sich der Schlüssel in einer Hot Wallet oder bei AWS befindet, wird er sofort gehackt. Selbst wenn sich der Schlüssel in einer Cold Wallet befindet, müssen sich die Hacker nur ein wenig mehr anstrengen. So oder so wird sie am Ende gehackt."

Maßnahmen, die Unternehmen sofort ergreifen sollten

Bewertung operativer Sicherheitsrisiken durchführen
Einführung einer Air-Gapped-Signaturinfrastruktur
Zusammenarbeit mit Sicherheitsteams, die Erfahrung im Umgang mit staatlich unterstützten Hackergruppen haben
Incident-Response-Plan erstellen und regelmäßig testen

> „Der nächste Hack über 1 Milliarde US-Dollar ist nur eine Frage der Zeit; ohne Vorbereitung sind Schäden unvermeidlich.“

1 Kommentare

GN⁺ 2025-02-23

Hacker-News-Kommentar

Jüngster relevanter Vorfall: Bybit hat durch einen Hack 1,5 Milliarden Dollar verloren
- Die Angreifer haben rund 1,5 Milliarden Dollar aus einer Multi-Signature-Cold-Storage-Wallet entwendet
- Die Angreifer kompromittierten die Geräte mehrerer Unterzeichner und manipulierten das, was die Unterzeichner in der Wallet-Oberfläche sahen, um die erforderlichen Signaturen zu sammeln, während die Unterzeichner glaubten, routinemäßige Transaktionen auszuführen
Wenn Hacker per Fernzugriff "das manipulieren können, was die Unterzeichner in der Wallet-Oberfläche sehen", dann wirkt das nicht wie Cold Storage
Es gibt drei Möglichkeiten, bei einer Multi-Signature-Interaktion gehackt zu werden:
- Der Multi-Signature-Smart-Contract wird kompromittiert
- Der Computer, auf dem signiert wird, wird kompromittiert
- Die verwendete Hardware-Wallet (ledger, trezor) wird kompromittiert
Der Multi-Signature-Vertrag namens Gnosis Safe hat sich als sehr robust erwiesen, und Hardware-Wallets sind extrem schwer anzugreifen. Die aktuelle Schwachstelle ist der Computer
Krypto-Unternehmen müssen das Problem lösen, indem sie auf stärker abgeschottete dedizierte Geräte zum Signieren umsteigen und tatsächlich prüfen, was auf dem Bildschirm der Hardware-Wallet angezeigt wird
Die Welt der Online-Sicherheit ist ein einziges Chaos. In anderen Ingenieursdisziplinen ist es fast nie so, dass man ausdrücklich auf etwas abzielt, das von einem fremden Staat gebaut wurde
- Zum Beispiel werden Hochhäuser nicht so entworfen, dass sie dauerhaftem Beschuss standhalten
- Autos werden auch nicht so entworfen, dass sie Panzergranaten standhalten
- Wenn Nordkorea Menschen mit Raketen töten oder kleine Gebäude zerstören würde, gäbe es öffentliche Empörung und eine schnelle militärische Reaktion
Online ist die Situation jedoch anders. Nordkorea kann Systeme nach Belieben angreifen, und die Hauptreaktion lautet: "Man hätte eben sicherere Systeme bauen sollen"
- Die Leute bei Bybit hätten vorsichtiger sein können, aber man muss erkennen, wie chaotisch die Online-Umgebung ist
In diesem Beitrag fehlen Details dazu, wie der Hack genau passiert ist
- Wenn von den Tools die Rede ist, frage ich mich, ob man daraus schließen sollte, dass die Leute dazu verleitet wurden, Schadsoftware herunterzuladen und auszuführen
Die Angreifer kompromittierten die Geräte mehrerer Unterzeichner und manipulierten das, was die Unterzeichner in der Wallet-Oberfläche sahen, um die erforderlichen Signaturen zu sammeln, während die Unterzeichner glaubten, routinemäßige Transaktionen auszuführen
- Ich frage mich, ob jemand weiß, wie viele Unterzeichner es gab
Ernst gemeinte Frage von jemandem, der fast nichts über Krypto weiß: Wer genau hat bei diesem Angriff tatsächlich Geld verloren? Viele Einzelpersonen?
Ich erinnere mich, dass ETH einen Hard Fork gemacht hat, als vor 9 Jahren 50 Millionen Dollar gestohlen wurden
Meinem Verständnis nach ist diese Multi-Signature vor allem deshalb gescheitert, weil wie bei den meisten Sicherheitsmaßnahmen einfach alle auf "Ja" geklickt haben, ohne zu kommunizieren, nachzuforschen oder Fragen zu stellen. Das macht den Zweck einer Multi-Signature bedeutungslos
Ich kann wirklich nicht verstehen, warum man das nicht auf mehrere separate Wallets aufteilt