Чанпен Чжао: Звіт Safe про зло Bybit залишає багато питань

Звіт Safe про результати розслідування злому Bybit на $1,46 млрд написаний розпливчасто і залишає більше запитань, ніж відповідей. Про це заявив фундатор Binance Чанпен Чжао (CZ).

«Зазвичай я намагаюся не критикувати інших представників індустрії, але час від часу все ж таки роблю це», — написав він.

Згідно з висновками команди гаманця, Lazarus Group атакувала Bybit за допомогою скомпрометованої машини розробника Safe {Wallet}. Результатом стала пропозиція замаскованої шкідливої транзакції. Інцидент стався під час переказу коштів із холодного сховища.

«Lazarus — північнокорейська хакерська група, що спонсорується державою, яка добре відома витонченими атаками соціальної інженерії на облікові дані розробників, іноді в поєднанні з експлойтами нульового дня», — зазначили автори звіту.

Експертиза не виявила будь-яких уразливостей у смарт-контрактах гаманця або вихідному коді фронтенду та сервісів. Команда Safe {Wallet} вжила додаткових заходів щодо усунення вектора атаки, додали вони.

На думку CZ, подані висновки не відповіли на низку важливих питань:

Що означає «зламування машини розробника» і як його було здійснено?

Як цей пристрій отримав доступ до «керованого Bybit облікового запису»?

Як хакери обдурили етап перевірки Ledger у кількох підписантів?

Чи була адреса Bybit з $1,46 млрд найбільшою під керуванням Safe і чому зловмисники не націлилися на інших?

Які уроки можуть отримати інші провайдери мультисиг-гаманців для самостійного зберігання та користувачі?

Співзасновник компанії Gnosis, що стоїть за Safe, Мартін Коппельман представив CZ деякі роз'яснення.

Загалом він повторив тези зі звіту щодо вектора атаки та не зміг пояснити методи обману підписантів. За оцінкою Коппельмана, сховище Bybit справді було одним із найбільших і, мабуть, першим зазнало подібної атаки — саме тому хакери намагалися приховати її сліди.

Підприємець також розповів про заходи, що розробляються зі зміцнення безпеки транзакцій.

Щодо третього питання, CZ відповідь дав технічний директор Ledger Шарль Гійме. За його словами, провайдер апаратних гаманців надає низку рішень для забезпечення безпеки транзакцій, але інтегрувати їх у Safe важко через технічні особливості.

«Для мене найголовніший висновок із злому Bybit полягає в наступному: компанії та фінансові установи повинні використовувати рішення для зберігання даних корпоративного рівня. Розміщення $1,46 млрд у безкоштовному смарт-контракті Safe{Wallet} із групою підписантів, розробленим для роздрібних користувачів, має стати пережитком минулого», — заявив програміст.

Раніше співзасновник Blockstream і шифропанк Адам Бек дійшов висновку, що причиною злому біржі став “неправильний дизайн EVM”.

Источник: cryptocurrency.tech

No votes yet.

Please wait...