Bybit Soğuk Cüzdan büyük ölçekli fon hırsızlığı olayı analizi

2025年2月21日，某知名交易平台ın Ethereum Soğuk Cüzdanı ciddi bir güvenlik olayı ile karşılaştı ve yaklaşık 14,6 milyar dolar değerinde varlık kaybına neden oldu, Web3.0 tarihindeki en büyük güvenlik kazalarından biri haline geldi.

Olay Özeti

O gün UTC saatiyle 14:16:11'de, saldırganlar titizlikle tasarlanmış bir phishing saldırısı ile Soğuk Cüzdan imzalayıcılarını kötü niyetli bir işlemi imzalamaya ikna etmeyi başardılar. Bu işlem, sıradan bir işlem olarak gizlenmişti, ancak aslında Safe çoklu imza cüzdanının uygulama sözleşmesini arka kapı içeren kötü niyetli bir sözleşmeyle değiştirmişti. Saldırganlar daha sonra bu arka kapıyı kullanarak cüzdan içindeki büyük miktarda varlığı transfer ettiler.

Saldırı Detayları

1. Saldırı Hazırlığı: Saldırganlar, fon transferi arka kapısı ve depolama alanını değiştirme işlevi içeren iki kötü niyetli sözleşmeyi üç gün önceden dağıttı.

2. Tuzak İmzası: Saldırgan, üç çoklu imza cüzdanı sahibini, görünüşte normal ama aslında kötü niyetli bir işlemi imzalamaya ikna etmeyi başardı.

3. Sözleşme Yükseltme: deleGatecall işlemi gerçekleştirerek, saldırgan Safe'in uygulama sözleşmesi adresini (masterCopy) kötü niyetli sözleşme adresi ile değiştirdi.

4. Fon Hırsızlığı: Güncellenmiş kötü niyetli sözleşmedeki sweepETH() ve sweepERC20() fonksiyonlarını kullanarak, saldırgan soğuk cüzdan içindeki tüm varlıkları transfer etti.

Açık Analizi

Bu olayın temel açığı, başarılı bir sosyal mühendislik saldırısında yatmaktadır. Saldırganlar, işlemleri Safe{Wallet} üzerinde normal bir işlem olarak göstermek için özenle tasarlanmış bir arayüz kullanmışlardır, ancak aslında donanım cüzdanına gönderilen veriler değiştirilmiştir. İmzalayan, donanım cihazında işlemin ayrıntılarını ikinci kez doğrulamamış ve bu da saldırının başarısına yol açmıştır.

Analizler, bu saldırının tanınmış bir hacker grubu tarafından planlanmış ve gerçekleştirilmiş olabileceğini öne sürüyor; yöntemi, son zamanlarda meydana gelen diğer yüksek değerli varlık hırsızlık olaylarıyla benzerlik gösteriyor.

Deneyimler ve Dersler

1. Cihaz güvenliğini artırmak: Sıkı uç noktası güvenlik politikaları uygulamak, özel imza cihazları ve geçici işletim sistemleri kullanmak.

2. Güvenlik bilincini artırın: Düzenli olarak phishing saldırı simülasyonları ve kırmızı takım saldırı savunma tatbikatları gerçekleştirin.

3. Kör imzadan kaçının: Donanım cüzdanında her bir işlemin detaylarını dikkatlice kontrol edin.

4. Çoklu Doğrulama: İşlem simülasyonu ve çift cihaz doğrulama mekanizması kullanın.

5. Anomalilere Dikkat: Herhangi bir anomali tespit edildiğinde işlemi derhal sonlandırın ve soruşturma başlatın.

Bu olay, Web3.0 alanının karşılaştığı güvenlik zorluklarını bir kez daha vurguladı, özellikle yüksek değerli hedeflere yönelik sistematik saldırılar. Saldırı yöntemlerinin sürekli evrimi ile birlikte, işlem platformları ve Web3.0 kuruluşları, giderek karmaşıklaşan dış tehditlere karşı koymak için güvenlik koruma seviyelerini kapsamlı bir şekilde artırmak zorundadır.