Bybit、ハッキングで15億ドル(約2.1兆ウォン)の被害 CEO「損失補填は可能」

 (tradingview.com)
1 ポイント 投稿者 GN⁺ 2025-02-23 | 2件のコメント | WhatsAppで共有
  • 暗号資産取引所Bybitが、約14億6,000万ドル規模の「不審な出金」に見舞われた
  • 問題のウォレットは、401,346 ETH(約11億ドル)およびstETH(staked ETH)などを新しいウォレットへ送金した
  • 新しいウォレットは現在、mETHおよびstETHを分散型取引所で清算中であり、これまでに約2億ドル相当のstETHを売却したことが確認されている
  • BybitのCEO、Ben Zhou氏はXを通じて、**「特定のETHコールドウォレットがハッカーに掌握され、すべてのETHが送金された」**と明らかにした
    • ただし「他のコールドウォレットは安全であり、すべての出金は正常に処理されている」と付け加えた
  • 14億6,000万ドル規模の損失は、史上最大の暗号資産ハッキング事件として記録される可能性がある
    • 過去の主なハッキング事例との比較:
      • Mt. Goxハッキング(2014年): 4億7,000万ドルの損失
      • CoinCheckハッキング(2018年): 5億3,000万ドルの損失
      • Ronin Bridgeハッキング(2022年): 6億5,000万ドルの損失
    • ハッキング報道後、ビットコイン(BTC)は1.5%、イーサリアム(ETH)は2%以上下落した

Bybit CEOの公式発表内容とコメントでの説明を含む

  • BybitのCEOがXで、ETHマルチシグのコールドウォレットがウォームウォレットへの送金を実行したと発表
    • しかしこの特定のトランザクションは「マスク(masked)」されており、署名者たちが見たUIには正しいアドレスが表示されていた
    • URLも安全な署名サービスである@safehttps://safe.global/wallet)として表示されていた
    • しかし実際の署名メッセージは、ETHコールドウォレットのスマートコントラクトロジックを変更するものであり、結果としてハッカーがコールドウォレットを掌握してすべてのETHを送金した
  • ほとんどのハードウェアウォレットは、EVMスマートコントラクトのトランザクションを解釈できない
    • ハードウェアウォレットは**「ブラインド署名(blind signing)」**方式を使用しており、署名者が見る画面と実際に署名するバイナリデータが一致していると前提している
    • CEOによれば、正しいURLを確認しており、複数の署名者がそれぞれ別の場所で別のデバイスを使って署名していた
    • それにもかかわらず、すべての署名者のUIが改ざんされており、これは高度な攻撃だったことを示唆している
  • 考えられる攻撃手法の予測
    • 署名リンクの改ざん
      • 署名リンクが伝達される過程で改ざんされ、IDNホモグラフドメインを使ったフィッシングページへ誘導された可能性
      • または、実際のsafe.globalサイトがスクリプトインジェクション攻撃に脆弱で、改ざんされたUIを提供していた可能性
    • サーバー側攻撃
      • Bybitのサーバーが侵害され、署名者たちに改ざんされたページを提供した可能性
    • クライアント側攻撃
      • マルウェアが署名者たちのブラウザに仕込まれ、UIを改ざんした可能性
    • ネットワーク/DNS攻撃
      • DNSハイジャックまたは誤発行されたTLS証明書を使って、ユーザーを偽サイトへ誘導した可能性
  • 結論: 高度で長期的な攻撃の可能性
    • 今回のハッキングは、Bybitの内部システムを長期間モニタリングし、プロセスを分析した上で実行されたように見える
    • 単純なフィッシング攻撃ではなく、企業内部の署名プロセスを正確に理解したうえでの標的型攻撃が行われた形跡がある
    • 今後公式のハッキング分析レポートが公開されれば、さらに詳細な攻撃手法が明らかになるとみられる

関連記事

2件のコメント

 
GN⁺ 2025-02-23
Hacker Newsの意見
  • Trail of Bitsのブログに、この事件のセキュリティ上の失敗に関する関連情報がある
  • 2つの記事に情報と推測はあるが、技術的な詳細を知りたい
    • たとえば、クライアントソフトウェアが侵害されたのか、マルチシグの鍵保有者がソーシャルエンジニアリングに屈したのか、署名者がエアギャップマシンやハードウェアデバイスを使っていたのかが気になる
  • Bybitがどうやって15億ドルの損失を埋め合わせるのか疑問
    • 本当にそれだけの利益を持っているのか、それともMtGoxスタイルで解決しようとしているのか気になる
  • 暗号資産取引所がどう動くのか分からない
    • 誰かが簡単に説明してくれないかと思う
    • コールドストレージのウォレットにユーザーのETHが入っていたのか気になる
    • もしそうなら、なぜ暗号資産取引所が、ユーザーの承認なしに取引を実行できるウォレットにユーザーのETHを保管しているのか疑問
    • 一般に、取引所を運営するために、なぜそんなに大きなコールドストレージウォレットが必要なのか気になる
    • どうやってその損失を埋められる資産を持っているのか疑問
  • Bybitに関する他の情報もある
    • Bybitはカナダでは合法ではない
    • Bybitはシンガポールで始まり、シンガポールは暗号資産とブロックチェーン技術のグローバルハブである
    • Bybitが安全だという情報と、そうではないという情報が入り混じっている
  • 取引所に接続されているなら、それはコールドウォレットではない
  • 「最終取引」のようなものがあるべきで、これは最初の取引が採掘された後に送信者と受信者の両方が署名しなければならない
    • 署名されなければ資金は返却される
    • 鍵の漏えい自体は防げないが、間違ったアドレスに送ることは防げる
  • 暗号資産は信じているが、15億ドルを何の警告もなく別の口座へ移せるシステムは深刻ではない
  • Bybitが実際に何なのか説明できる人がいるのか気になる
    • ハッキングが発表されたときに検索したが、混乱した
    • 情報の大半が「詐欺」だと言っている
  • 「他のすべてのコールドウォレットは安全なので安心してほしい」という話がある
    • 信じがたい
  • 暗号資産取引所WazirXが約3億ドル相当をハッキングされた
    • 2024年7月のハッキング以降、CEOに対する措置はない
    • 彼はドバイにおり、シンガポール最高裁から、資金を平均化してユーザーに分配する承認を得ている
    • 会社/CEOに対する措置はなく、別の会社/取引所を始める準備をしている