Bybit取引所への14億ドルのハッキングは当然の衝撃だ。まず、盗まれた仮想通貨の額は規模が驚異的だ。次に、大規模なCEXプラットフォームのセキュリティシステムは非常に信頼性が高く、精巧であると考えられているが、どうやらそうではないようだ。 企業全体( )および個々の専門家( )は、資金が誰に渡るのかを知るために、外部からの影響の兆候と資金の経路を探している。その間、匿名のセキュリティ専門家 、著者 そして、 は、攻撃自体を詳しく調査し、 防御機構はそれほど強固ではなく、Bybit 内部の誰かがハッキングに関与している可能性もある。 アーカム ザックXBT デキサラン ERC-223 イーサリアム連邦 明らかにした マルチシグは信頼できないことが証明されました。 取引所の大半は 資産を保管するためのウォレット。実際には、管理に関与する人々が署名して提案されたアクションを承認した場合にのみ実行できる特別なスマートコントラクトです。このようなスマートコントラクトは、 つまり、データを保存するプロキシ コントラクトと、実行されるロジックである実装コントラクトのバンドルがあります。 マルチシグ 更新可能 デキサランは彼の投稿の1つで、 攻撃を受けたBybitのコールドウォレットはGnosis Safeを実装契約として使用しており、1080行のかなり複雑な契約であると正しく指摘しています。BybitチームがGnosis Safeの機能をフルに活用したことはなかった可能性があります。おそらく、スマートマルチシグネチャ契約の選択は、Gnosis Safeの広範な採用に影響されたのでしょう。一方、複雑さはしばしば冗長性や複雑な状況でのコード動作の誤解につながります。 Gnosis Safe の被害は 2,500 万ドルに上りました。 代理契約 交流 使用されたマルチシグの最大の弱点は署名、つまり署名がどのように、どのような助けを借りて生成されるかであることが判明した。Dexaran 署名は非常に複雑で人間には判読できないため、署名の生成にはソフトウェアが使用されている可能性が高く、プロセス自体はすべての参加者にとって同じであると研究者は示唆している。 ノート だから、Bybitチームの他のメンバーは何も疑わなかった。すべてが ハッカーが提供した署名が複雑だったため、Bybit のホットウォレットがハッカーのウォレットに置き換えられたことを読み取ることができませんでした。 いつものように デキサランの専門知識を信頼しない理由はありません。彼はイーサリアムの分裂以来、スマートコントラクトの監査で豊富な経験を持っています。 イーサリアムクラシックのマルチシグウォレットを開発し、ERC-223標準とスマートコントラクト通信モデルを開発して、 。 監査済み ERC-20 の問題 なぜハッカーがBybitの中にいるのか?もちろん、Gnosis Safe契約とプロキシ契約はEtherscanブロックブラウザで検証されており、誰でもコードを読むことができるので、ハッカーは賢い人である可能性があります。しかし、署名の生成方法を明確に知っているという事実は、ハッカーにとってまれな偶然であり幸運な出来事であるか、または直接の職務または情報提供者からBybitのセキュリティシステムの内部の仕組みを知っているかのどちらかです。さらに、ハッカーはただ通りかかったのではなく、 前日の練習用に対象契約書を2部用意します。 配備された ハッカーの足跡 ZachXBTというニックネームを持つ研究者 資金を蓄積したアドレスへの資金の流れ この事実は、 Bybitハッキングへの関与。ハッカーまたはハッカー集団が資金を破壊し、さまざまなブリッジやミキサーを通じて引き出していたことを考えると、研究者は大変な仕事を成し遂げたことになる。 追跡された Phemexハッキング ラザログループ \一方、デキサラン アドレスのチェーンに注目してください。ハッカーのアドレスは、契約をテストするための通話のガス代を支払ったり、署名付きのトランザクションを送信して取引所のコールドウォレットから資金を引き出すために補充されていました。ハッカーは、Binance取引所を通じてアドレスに資金を提供していたことが判明しました。BinanceはKYC/AMLポリシーに完全に準拠しており、さまざまな法執行機関と協力する用意があります。もちろん、ハッカーはいわゆる「マネーミュール」を使用しますが、それでも取引所が法執行機関と協力するかどうかの手がかりになります。 引き分け コミュニティの反応。地方分権の廃止を求める。 取引所がハッキングされ、莫大な額の ETH が引き出されたことが知られるやいなや、市場には売り圧力がかかりました。トレーダーは明らかに、ハッカーが盗んだお金を現金化するだろうと信じて、急いでリスクヘッジに動きました。 コインマーケットキャップ 取引所からの引き出しが開始された後、ユーザーも資金を引き出すために殺到し、53億ドルの流出が発生しました( )。 DeFiラマ 様々な企業が 盗まれた資金にタグを付け、ハッカーが異なるプラットフォームを使用してブロックチェーン間で資金を混合および転送する能力を制限する。USDTの発行者であるTetherは、ハッカーの資金をブロックします( )。 関与した パオロ・アルドイノ しかし、全員が一致団結して動いているわけではない。Cryptomixer eXchは取引所との協力を拒否した。 「こうした状況を踏まえ、なぜ我々の評判を積極的に傷つけた組織と提携しなければならないのか説明をいただきたい」とeXchは フォーラムに投稿した返答の中で述べた。 Bitcointalk 驚くべきことに、Bybitの資金を回収するためにイーサリアムブロックチェーンのロールバックを求める人々がいる。 そのうちの1人 。 1月3日 CEO サムソン・モウ 資金を失った一般ユーザーが過失を責められると、こうした訴えは少し奇妙に聞こえる。ユーザーが間違った EVM ネットワークから誤って取引所に資金を送金することは珍しくなく、取引所がすべきことはパブリック ノードを使用してユーザーの資金を送金することだけだが、99.9% のケースで取引所は拒否する。さらに、Bybit はすべての損失をカバーするのに十分な準備金があることを保証している。 これらの人々は、無意識のうちに、分散化を完全に廃止することでブロックチェーン業界のすべての努力を無駄にし、パブリックブロックチェーン技術の価値そのものをゼロにすることを呼びかけています。 幸いなことに、イーサリアムの開発者自身はそのような動きに反対しており、自分たちの立場を正当化しています。 例えばカーネル開発者 。 ティム・ベイコ そして彼らには、この問題に関して分散化とクリプトパンク哲学を主張する十分な支持者がいる。 のような 。 ジャスティン・ボンズ バイビット自体 報奨金プログラムを開始し、ハッキングに関与したハッカーの捜索を開始すると発表した。 発売 結論 コミュニティは、DeFi プロトコルの定期的なハッキングに慣れています。これらのプラットフォームでは、開発者はテスト手順や監査を怠り、コードやロジックを完全に理解していないモジュールを選択することがよくあります。すべては開発速度を重視し、波に乗り遅れるのを恐れるためです。そのため、CEX のハッキング、特に大規模なハッキングは常に注目度の高いイベントとなり、業界全体に永続的な印象を残します。 あらゆるレベルの開発者は、防御メカニズムとハッキングツールの競争が止まることなく続いていることを忘れず、警戒する必要があります。