Bybit erleidet durch Hack einen Schaden von 1,5 Mrd. US-Dollar. CEO: „Verluste können ausgeglichen werden“

 (tradingview.com)
1 Punkte von GN⁺ 2025-02-23 | 2 Kommentare | Auf WhatsApp teilen
  • Die Krypto-Börse Bybit hat „verdächtige Abhebungen“ im Umfang von rund 1,46 Milliarden US-Dollar festgestellt
  • Die betroffene Wallet transferierte 401.346 ETH (rund 1,1 Milliarden US-Dollar) sowie stETH (gestaktes ETH) und weitere Vermögenswerte an eine neue Wallet
  • Die neue Wallet liquidiert derzeit mETH und stETH auf dezentralen Börsen, wobei bislang nachweislich stETH im Wert von etwa 200 Millionen US-Dollar verkauft wurde
  • Bybit-CEO Ben Zhou erklärte auf X, dass „eine bestimmte ETH-Cold-Wallet von einem Hacker übernommen wurde und alle ETH transferiert wurden“
    • Er ergänzte jedoch, dass „andere Cold-Wallets sicher sind und alle Auszahlungen normal verarbeitet werden“
  • Der Verlust von 1,46 Milliarden US-Dollar könnte als größter Krypto-Hack aller Zeiten in die Geschichte eingehen
    • Vergleich mit früheren großen Hacks:
      • Mt.-Gox-Hack (2014): 470 Millionen US-Dollar Verlust
      • CoinCheck-Hack (2018): 530 Millionen US-Dollar Verlust
      • Ronin-Bridge-Hack (2022): 650 Millionen US-Dollar Verlust
    • Nach Bekanntwerden des Hacks fielen Bitcoin (BTC) um 1,5 % und Ethereum (ETH) um mehr als 2 %

Inhalt der offiziellen Erklärung des Bybit-CEO einschließlich Erläuterungen aus den Kommentaren

  • Der Bybit-CEO erklärte auf X, dass die ETH-Multisig-Cold-Wallet eine Überweisung an eine Warm-Wallet durchgeführt hat
    • Allerdings war diese spezifische Transaktion „maskiert“, sodass in der UI, die den Unterzeichnern angezeigt wurde, die korrekte Adresse zu sehen war
    • Auch die URL wurde als der sichere Signaturdienst @safe (https://safe.global/wallet) angezeigt
    • Die tatsächlich signierte Nachricht änderte jedoch die Smart-Contract-Logik der ETH-Cold-Wallet, wodurch der Hacker letztlich die Kontrolle über die Cold-Wallet übernahm und alle ETH transferierte
  • Die meisten Hardware-Wallets können EVM-Smart-Contract-Transaktionen nicht interpretieren
    • Hardware-Wallets verwenden „Blind Signing“, wobei angenommen wird, dass der angezeigte Bildschirm für den Unterzeichner mit den tatsächlich signierten Binärdaten übereinstimmt
    • Laut CEO wurde die korrekte URL überprüft, und mehrere Unterzeichner haben an unterschiedlichen Orten mit unterschiedlichen Geräten signiert
    • Dennoch wurde die UI aller Unterzeichner manipuliert, was auf einen ausgefeilten Angriff hindeutet
  • Vermutete mögliche Angriffswege
    • Manipulation des Signatur-Links
      • Möglicherweise wurde der Signatur-Link während der Übermittlung manipuliert und auf eine Phishing-Seite mit einer IDN-Homograph-Domain umgeleitet
      • Oder die tatsächliche Website safe.global war anfällig für einen Script-Injection-Angriff und lieferte dadurch eine manipulierte UI aus
    • Serverseitiger Angriff
      • Möglicherweise wurden Bybits Server kompromittiert und den Unterzeichnern manipulierte Seiten ausgeliefert
    • Clientseitiger Angriff
      • Möglich ist auch, dass Malware in die Browser der Unterzeichner eingeschleust wurde und die UI manipulierte
    • Netzwerk-/DNS-Angriff
      • Denkbar ist, dass Nutzer per DNS-Hijacking oder mithilfe eines falsch ausgestellten TLS-Zertifikats auf eine gefälschte Website geleitet wurden
  • Fazit: Möglich ist ein ausgefeilter Langzeitangriff
    • Dieser Hack wirkt so, als sei er nach langfristiger Beobachtung von Bybits internen Systemen und Analyse der Prozesse ausgeführt worden
    • Vieles deutet darauf hin, dass es sich nicht um einfaches Phishing handelte, sondern um einen maßgeschneiderten Angriff nach präzisem Verständnis des internen Signaturprozesses des Unternehmens
    • Sollte künftig ein offizieller Bericht zur Hack-Analyse veröffentlicht werden, dürften nähere Details zum Angriffsweg bekannt werden

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2025-02-23
Hacker-News-Kommentare
  • Im Blog von Trail of Bits gibt es relevante Informationen über das Sicherheitsversagen in diesem Vorfall
  • In zwei Artikeln gibt es Informationen und Spekulationen, aber ich würde gern die technischen Details kennen
    • Zum Beispiel würde ich gern wissen, ob die Client-Software kompromittiert wurde, ob die Multisig-Keyholder auf Social Engineering hereingefallen sind und ob die Unterzeichner Air-Gap-Maschinen oder Hardware-Geräte verwendet haben
  • Ich frage mich, wie Bybit einen Verlust von 1,5 Milliarden Dollar ausgleichen kann
    • Ich frage mich, ob sie wirklich so viel Gewinn haben oder ob sie das im Stil von MtGox zu lösen versuchen
  • Ich weiß nicht, wie Krypto-Börsen funktionieren
    • Ich frage mich, ob das jemand einfach erklären kann
    • Ich frage mich, ob sich die ETH der Nutzer in der Cold-Storage-Wallet befanden
    • Falls ja, frage ich mich, warum eine Krypto-Börse die ETH der Nutzer in einer Wallet aufbewahrt, die ohne Zustimmung der Nutzer Transaktionen ausführen kann
    • Ich frage mich generell, warum man zum Betrieb einer Börse eine so große Cold-Storage-Wallet braucht
    • Ich frage mich, wie sie über Vermögenswerte verfügen können, mit denen sie diesen Verlust ausgleichen können
  • Es gibt weitere Informationen über Bybit
    • Bybit ist in Kanada nicht legal
    • Bybit wurde in Singapur gegründet, und Singapur ist ein globales Zentrum für Kryptowährungen und Blockchain-Technologie
    • Es gibt gemischte Informationen dazu, ob Bybit sicher ist oder nicht
  • Wenn sie mit einer Börse verbunden ist, ist es keine Cold Wallet
  • Es sollte so etwas wie eine „Endgültige Transaktion“ geben, bei der sowohl Absender als auch Empfänger unterschreiben müssen, nachdem die erste Transaktion gemined wurde
    • Wenn nicht unterschrieben wird, werden die Gelder zurückgegeben
    • Das verhindert zwar keinen Schlüsselleak, aber es kann verhindern, dass an eine falsche Adresse gesendet wird
  • Ich glaube an Kryptowährungen, aber ein System, in dem 1,5 Milliarden Dollar ohne jede Warnung auf ein anderes Konto verschoben werden können, ist nicht ernst zu nehmen
  • Ich frage mich, ob jemand erklären kann, was Bybit eigentlich ist
    • Ich habe danach gesucht, als der Hack bekannt gegeben wurde, war aber verwirrt
    • Die meisten Informationen bezeichnen es als „Betrug“
  • Es heißt: „Alle anderen Cold Wallets sind sicher, also keine Sorge“
    • Das ist schwer zu glauben
  • Die Krypto-Börse WazirX wurde um etwa 300 Millionen Dollar gehackt
    • Nach dem Hack im Juli 2024 gab es keine Maßnahmen gegen den CEO
    • Er befindet sich in Dubai und erhielt vom Obersten Gericht Singapurs die Genehmigung, die Gelder zu mitteln und an die Nutzer zu verteilen
    • Es gibt keine Maßnahmen gegen das Unternehmen/den CEO, und er bereitet sich darauf vor, ein weiteres Unternehmen/eine weitere Börse zu gründen