
Dubai merkezli borsa dünya çapında 60 milyondan fazla kullanıcıya hizmet veriyor ve bitcoin ve ether dahil olmak üzere çeşitli kripto para birimlerine erişim sağlıyor. Bybit son günlerde siber güvenlikteki 'en parlak beyinleri' 1,5 milyar doları kurtarmaya yardımcı olmaları için işe aldı.
Euronews'te yer alan habere göre; Kripto para sektörü, 21 Şubat'ta gerçekleşen ve tarihin en büyük vurgunu olduğu düşünülen 1,5 milyar dolarlık hack olayı nedeniyle halen sarsılmış durumda.
Kuzey Koreli hackerlar tarafından gerçekleştirildiğine inanılan vurgunda Dubai merkezli Bybit kripto para borsası hacklenmişti. Olaydan birkaç saat sonra Bybit yetkilileri, 400.000'den fazla ethereum çalındığını duyurmuştu.
Açıklamaya göre, ethereum'lar çoklu imza cüzdanında (multisig / işlemlerin onaylanması için birden çok imzanın gerektiği kripto para cüzdanı) saklanıyordu. Çoklu imza cüzdanları, hazine yönetimini kolaylaştırmak için şirketler tarafından yaygın kullanılıyor.
Ancak bu olayda para, bir şekilde borsanın sıcak cüzdanlarından birine aktarıldı. Oradan da tamamen Bybit'ten çıkarılıp bilinmeyen saldırganların kontrolündeki cüzdanlara geçirildi. Dubai merkezli borsa dünya çapında 60 milyondan fazla kullanıcıya hizmet veriyor ve bitcoin ve ether dahil olmak üzere çeşitli kripto para birimlerine erişim sağlıyor. Bybit son günlerde siber güvenlikteki "en parlak beyinleri" 1,5 milyar doları kurtarmaya yardımcı olmaları için işe aldı.
FBI, saldırının ardında Kuzey Kore'nin olduğunu duyurdu. Bu miktar, Saddam Hüseyin'in 2003 savaşından önce Irak Merkez Banka'sından aldığı 1 milyar dolarlık rekoru da aştı ve aynı zamanda Kuzey Kore'nin hacker'lıktaki uzmanlığının arttığını gösteriyor.
Soğuk cüzdanlar, sıcak cüzdanlar
Ars Technica'nın olayla ilgili analizine göre Bybit, günlük aktivite için ihtiyaç duyulan miktarda parayı sıcak cüzdanlarda saklayarak ve geri kalanını multisig soğuk cüzdanlarda tutuyordu. Bu sektörde büyük ölçüde kabul gören en iyi uygulama.
Sıcak cüzdan, internete bağlı bir kripto para cüzdanı. Paraya hızlı erişim sağlayarak sık yapılan işlemler için daha kullanışlı. Mobil cüzdanlar, masaüstü cüzdanlar, web cüzdanları, borsa cüzdanları bunlara örnek olarak verilebilir. Ancak güvenlik düzeyi, internet bağlantısı ve daha yüksek saldırı riski nedeniyle daha düşük. Bu cüzdanlarda günlük işlemler ve paraya hızlı erişim için genellikle az miktarda kripto tutuluyor.
Soğuk cüzdanlar ise çevrimdışı fiziksel anahtarlarla korunan ve internete bağlı olmayan bir kripto para cüzdanı türü. Kriptoyu uzun süreler boyunca daha güvenli bir şekilde saklamak için kullanılıyor. Bu özel anahtarlar genellikle flash bellek tarzı cihazlardan oluşuyor ve fiziksel dünyada bireyler tarafından saklanıyor. Dolayısıyla internet bağlantısı olmadığı için hack olaylarına karşı en güvenli çözüm olarak görülüyorlar.
Bu olayda soğuk cüzdanlardan sıcak cüzdana para transferi, borsanın birden fazla üst düzey çalışanından koordineli onay gerektiriyordu.
Güvenlik varsayımlarını yerle bir etti
Araştırmacılar yaklaşık 10 gündür hackerların bu güvenlik duvarını nasıl alt ettiğini araştırıyordu. Sonunda elle tutulur bir hipotez geliştirmeyi başardılar. Bybit nihayetinde vurgunun "akıllı sözleşme mantığını değiştiren ve imzalama arayüzünü maskeleyen, saldırganın ETH Soğuk Cüzdanı'nın kontrolünü ele geçirmesini sağlayan karmaşık bir saldırı" olduğuna karar verdi.
Yani Bybit içindeki birden fazla sistem hacklenmişti ve saldırganlar, transferi onaylamak için gereken her yöneticinin cihazındaki güvenli cüzdanın kullanıcı arayüzünü (kısacası herhangi bir işlemi yaparken ekranda gördüğünüz sistem) ele geçirmeyi ve uzaktan kontrol etmeyi başarmıştı. Bunun mümkün olması, kripto sektörü başta olmak üzere siber güvenlik dünyasında ciddi bir kaos ve tartışmanın fitilini ateşledi.
Güvenlik firması Check Point'teki araştırmacılar, "Bybit saldırısı kripto güvenliği hakkında uzun süredir var olan varsayımları yerle bir etti," diyor.
"Akıllı sözleşme mantığınız veya çoklu imza korumalarınız ne kadar güçlü olursa olsun, insan unsuru en zayıf halka olmaya devam ediyor. Bu saldırı, kullanıcı arayüzü manipülasyonunun ve sosyal mühendisliğin en güvenli cüzdanları bile atlatabileceğini kanıtlıyor."
Saldırganların, fonların soğuk depodan çıkarılması için imzalarının gerekli olduğu çok sayıda Bybit çalışanının kullanıcı arayüzlerini nasıl ele geçirdiği henüz tam olarak bilinmiyor. Ancak Kuzey Kore hükümeti adına çalışan bilgisayar korsanları uzun zamandır gelişmiş kötü amaçlı yazılım araçları kullanıyor.
Kuzey Kore bilgisayar korsanlığının zirvesinde: Lazarus grubu ve hack olayları
Kuzey Kore'nin, nükleer ve balistik füze programlarının finansmanında kullanmak üzere birçok büyük ölçekli vurgunu gerçekleştirdiği biliniyor. Bunların arkasında genellikle hükümet için çalışan ve Lazarus diye bilinen bir siber birim var.
Guardian'ın haberine göre, Kuzey Kore ile bağlantılı bilgisayar korsanları 2024'te toplamda 1,3 milyar dolardan fazla kripto para çaldı. O dönemde bu da bir rekordu ama tek seferde gerçekleşen bir vurgun değildi. Blokzincir analiz şirketi Chainalysis, 47 ayrı olay tespit edildiğini söylüyor.
2023'te ele geçirilen toplam para ise 660 milyon dolardı.
Chainalysis raporunda, "Kuzey Kore bağlantılı bilgisayar korsanları, devlet destekli operasyonları finanse etmek ve uluslararası yaptırımları aşmak için sıklıkla gelişmiş kötü amaçlı yazılımlar, sosyal mühendislik ve kripto para hırsızlığı gibi yöntemlere başvurarak karmaşık ve amansız bir kötü üne kavuştu," ifadelerine yer verildi.
Parayı nerede kullanıyorlar?
Kuzey Kore'ye uygulanan yaptırımları izleyen Birleşmiş Milletler yetkilileri, yönetimin 2017-2023 arasında gerçekleştirdiği onlarca şüpheli siber saldırıdan elde edilen geliri nükleer silah programını geliştirmek için kullandığına inanıyor.
Kuzey Kore, çalınan kripto paraları dönüştürmek ve aklamak için çeşitli yöntemler kullanıyor:
Bitcoin ve diğer kripto paralara dönüştürme: Çalınan varlıklar, kökenlerini gizlemek için hızla Bitcoin ve diğer sanal paralara dönüştürülür.
'Peel Chains' kullanımı: Bu teknik, çalınan kripto paraları bir dizi işlemle göndermeyi içerir ve her işlemin küçük bir kısmı yeni bir adrese aktarılır. Bu yöntem izleme çabalarını zorlaştırır ve fonların kökenini gizlemeye yardımcı olur.
İşlemleri karıştırma: Bu yöntemde yasadışı fonları meşru olanlarla karıştırarak anonimliği artırır ve takibi zorlaştırır.
İtibari paraya dönüştürme: Aklandıktan sonra kripto paralar genellikle geleneksel itibari para birimleriyle değiştirilir, yani bozdurulur. Kuzey Kore, kripto paraların itibari paraya çevrilmesini kolaylaştırmak için yurtdışındaki operatör ağlarından yararlanır. Dijital varlıkları nakite dönüştürmek için genellikle gevşek denetime sahip kripto para borsalarını kullanır ve tespit riskini en aza indirir.
Vurgun kripto piyasasını nasıl etkileyecek?
Hack olayının hemen ardından Bitcoin, Haziran 2022'den bu yana en büyük aylık kaybını yaşadı ve yüzde 17,5 düşüşle Ocak ortasındaki 109.071 dolarlık rekor seviyesinden yaklaşık 78.273 dolara geriledi.
Ethereum'un fiyatı da saldırıdan sonraki 24 saat içinde yüzde 5 düşerek 2.650 dolar civarında işlem gördü.
Saldırı, büyük bir satış dalgasına neden oldu ve 24 saat içinde 566 milyon dolarlık satışa yol açtı. XRP, Solana (SOL), Dogecoin (DOGE) ve Shiba Inu (SHIB) gibi büyük altcoin'leri de kötü etkiledi.
Olayın daha uzun erimli sonuçları da olabilir. Dünya çapındaki düzenleyicileri güvenlik protokollerini geliştirmek için kripto para borsalarına daha sıkı denetim uygulamaya yöneltebilir. Ayrıca piyasadaki işlem hacimlerinin azalmasına ve güvenli depolama çözümlerine talebin artmasına neden olabilir.
Bunun yanı sıra borsalar, kullanıcı güvenini geri kazanmayı ve sürdürmeyi hedefleyerek karmaşık siber tehditlere karşı koruma sağlamak için gelişmiş güvenlik önlemlerine daha fazla yatırım yapabilir.
ABD Başkanı Donald Trump'ın 7 Mart'ta Beyaz Saray'da bir kripto zirvesine ev sahipliği yapacağı biliniyor. Söz konusu olayın zirvede de gündeme gelmesi muhtemel.