21 Şubat, tarihinin en büyük soygununu yaşadığı için, kripto piyasası için karanlık bir gündü. Saldırganlar dünyanın en büyük ikinci kripto borsası olan Bybit’ten yaklaşık 1,5 milyar dolar çaldı ve uzmanlar bunun tüm zamanların en büyük hırsızlığı olduğunu belirtti. Ne bu kayıp ne de paniğe kapılan yatırımcıların 5 milyar dolar daha çekmesi Bybit için ölümcül olmasa da, olay modern kripto ekosistemindeki temel kusurların altını çiziyor ve sıradan kullanıcılar için bazı değerli dersler sunuyor.
Bybit nasıl soyuldu?
Tüm büyük kripto borsaları gibi Bybit de saklanan kripto paraları çok katmanlı korumayla güvence altına alır. Fonların çoğu, çevrimiçi sistemlerle bağlantısı kesilmiş soğuk cüzdanlarda saklanır. Mevcut varlıklara para yüklenmesi gerektiğinde, gerekli meblağ manuel olarak soğuk cüzdandan sıcak cüzdana taşınır ve işlem aynı anda birkaç çalışan tarafından imzalanır. Bunun için Bybit, Safe{Wallet}’ın çoklu imza (multisig) çözümünü kullanır ve işleme dahil olan her çalışan özel bir Donanım Cüzdanı kripto anahtarını kullanarak işlemi imzalar.
Saldırganlar sistemi detaylı bir şekilde incelemiş ve bağımsız araştırmacılara göre bir Safe{Wallet} geliştirici makinesini ele geçirmişlerdi. Muhtemelen, Safe{Wallet} web uygulama sayfalarını görüntülemek için kodda kötü amaçlı değişiklikler yapılmıştı. Kendi soruşturmalarını yürüten Safe{Wallet} sahipleri, iki bağımsız bilgi güvenliği şirketinin bulgularını reddederek altyapılarının saldırıya uğramadığı konusunda ısrarcı oldular.
Peki ne oldu? Bir sıcak cüzdana 7 milyon dolarlık rutin bir yükleme sırasında, Bybit çalışanları bilgisayar ekranlarında tam olarak bu miktarı ve sıcak cüzdan adresiyle eşleşen alıcının adresini gördüler. Ancak imzalanmak üzere başka veriler gönderildi! Düzenli transferler için alıcının adresi Donanım Cüzdanı cihazının ekranından kontrol edilebilir (ve edilmelidir!) ancak multisig işlemlerini imzalarken bu bilgi gösterilmediğinden Bybit çalışanları esasen kör bir transfer gerçekleştirmiş oldular.
Sonuç olarak, Bybit’in soğuk cüzdanlarından birinin tüm içeriğini birkaç yüz sahte cüzdana taşıyan kötü niyetli bir akıllı sözleşmeye, istemeden yeşil ışık yaktılar. Bybit cüzdanından para çekme işlemi tamamlanır tamamlanmaz, Safe{Wallet} web sitesindeki kodun zararsız sürüme geri döndüğü görülüyor. Saldırganlar şu anda çalıntı Ethereum’u “katmanlaştırmakla” meşguller, yani aklamak amacıyla parça parça transfer ediyorlar.
Görünüşe göre, Bybit ve müşterileri hedefli bir tedarik zinciri saldırısının kurbanı oldular.
Bybit vakası tek seferlik bir olay değil
FBI, TraderTraitor kod adlı Kuzey Koreli bir grubun fail olduğunu resmen açıkladı. Bilgi güvenliği çevrelerinde bu grup Lazarus, APT38 ya da BlueNoroff olarak da bilinmektedir. Grubun alametifarikası; cüzdan geliştiricilerini hacklemek, kripto borsalarını soymak, sıradan kullanıcılardan çalmak ve hatta sahte oyna-kazan oyunları geliştirmek gibi kripto para alanında ısrarlı, sofistike ve sürekli saldırılardır.
Bybit baskınından önce grubun rekoru, Axie Infinity oyunu için oluşturulan Ronin Networks blok zincirinden 540 milyon dolar çalınmasıydı. Bu 2022 saldırısında, bilgisayar korsanları virüslü bir PDF dosyasındaki sahte bir iş teklifini kullanarak oyunun geliştiricilerinden birinin bilgisayarına virüs bulaştırdı. Bu sosyal mühendislik tekniği günümüzde de grubun cephaneliğinde yer almaya devam etmektedir.
Grup, 2024 Mayıs’ında Japon kripto borsası DMM Bitcoin’den 300 milyon doların üzerinde bir vurgun yaptı ve bunun sonucunda DMM Bitcoin iflas etti. Bundan önce, 2020 yılında, KuCoin kripto borsasından 275 milyon dolardan fazla para hortumlanmış ve bunun nedeni olarak bir sıcak cüzdan için “sızdırılmış bir özel anahtar” gösterilmişti.
Lazarus on yılı aşkın bir süredir kripto para hırsızlığı taktiklerini geliştiriyor. 2018 yılında, AppleJeus Operasyonu‘nun bir parçası olarak Truva atı haline getirilmiş bir kripto para alım satım uygulaması kullanılarak bankalara ve kripto borsalarına yönelik bir dizi saldırı hakkında yazmıştık. Elliptic’teki uzmanlar, Kuzey Kore bağlantılı aktörlerin toplam suç gelirlerinin yaklaşık 6 milyar dolar olduğunu tahmin ediyor.
Kripto yatırımcıları ne yapmalı?
Bybit örneğinde, müşteriler şanslıydı: borsa, ortaya çıkan para çekme talepleri dalgasına hızlı bir şekilde hizmet sundu ve kayıpları kendi fonlarından telafi etme sözü verdi. Bybit faaliyetlerine devam etmektedir, bu nedenle müşterilerin herhangi bir işlem yapmasına gerek yoktur.
Ancak bu saldırı, blok zinciri sistemleri üzerinden akan fonları güvence altına almanın ne kadar zor olduğunu ve bir işlemi iptal etmek ya da para iadesi yapmak için ne kadar az şey yapılabileceğini bir kez daha gösterdi. Saldırının eşi benzeri görülmemiş ölçeği göz önüne alındığında, birçok kişi Ethereum blok zincirinin saldırı öncesi durumuna geri döndürülmesi çağrısında bulundu, ancak Ethereum geliştiricileri bunu “teknik olarak zor” olarak değerlendiriyor. Bu arada Bybit, kripto borsaları ve etik araştırmacılar için kurtarılan fonların %10’u oranında bir ödül programı açıkladı, ancak şu ana kadar sadece 43 milyon dolarlık bir kısmı hayata geçirildi.
Bu durum, bazı kripto sektörü uzmanlarının, hack olayının ana sonucunun kripto varlıklarının kişisel olarak saklanmasında bir artış olacağı yönünde spekülasyon yapmasına neden oldu.
Kişisel saklama, güvenli saklama sorumluluğunu uzmanların omuzlarından alıp sizin omuzlarınıza yükler. Bu nedenle, yalnızca tüm güvenlik önlemlerine hakim olma ve bunları her gün sıkı bir şekilde takip etme yeteneklerinize tam olarak güveniyorsanız bu yolu izleyin. Kripto cüzdanı olmayan sıradan kullanıcıların özellikle kendilerini hedef alan sofistike bir saldırıyla karşılaşma ihtimalinin düşük olduğunu ancak genel kitlesel saldırıların savuşturulmasının da daha kolay olduğunu unutmayın.
Peki, kripto paraların güvenli bir şekilde saklanması için neye ihtiyacınız var?
- Ekranlı bir donanım cüzdanı satın alın. Kripto varlıklarınızı korumanın en etkili yolu budur. Önce biraz araştırma yapın ve bir cüzdanı saygın bir satıcıdan aldığınızdan emin olun. Özellikle de doğrudan bir satıcıdan alın; asla ikinci el olarak ya da bir pazar yerinden almayın. Bu durumda, önceden hacklenmiş bir cüzdan bütün paranızı silip süpürebilir. Transferleri imzalamak için cüzdan kullanırken, alıcının adresini hem bilgisayar ekranında hem de cüzdan ekranında kontrol ederek kötü niyetli bir akıllı sözleşme veya panodaki kripto cüzdan adreslerini değiştiren bir kırpıcı Truva atı tarafından değiştirilme ihtimalini ortadan kaldırın.
- Cüzdan tohum cümlelerini asla elektronik ortamda saklamayın. Bunun için bilgisayarınızdaki dosyaları ve galerinizdeki fotoğrafları kullanmayı unutun; modern Truva atları Google Play ve App Store’a sızmayı ve akıllı telefonunuzda depolanan fotoğraflardaki verileri tanımayı öğrendi. Sadece bir kasanın içinde veya fiziksel olarak güvenli başka bir yerde tutulan ve hem yetkisiz erişimden hem de doğal afetlerden korunan kağıt kayıtlar (veya tercih ederseniz metal gravürler) yeterli olacaktır. Birden fazla depolama yeri düşünebilir ve tohum cümlenizi parçalara bölebilirsiniz.
- Tüm yumurtalarınızı kripto paralarınızı tek bir sepete koymayın. Büyük miktarlarda veya farklı türlerde kripto varlık sahipleri için birden fazla cüzdan kullanmak mantıklıdır. İşlemsel ihtiyaçlar için küçük miktarlar bir kripto borsasında saklanabilirken büyük miktarlar, birkaç donanım kripto cüzdanı arasında bölünebilir.
- Özel bir bilgisayar kullanın. Mümkünse bir bilgisayarı kripto para işlemleri için ayırın. Fiziksel olarak erişimi kısıtlayın (örneğin, kasaya, kilitli bir dolaba veya kilitli bir odaya koyun), disk şifreleme ve parola girişi kullanın ve kendi parolaları olan, ana bilgisayarınızdakilerden farklı, ayrı bir hesaba sahip olun. Güvenilir koruma yükleyin ve “kripto-bilgisayarınızda” maksimum güvenlik ayarlarını etkinleştirin. Bu bilgisayarı yalnızca işlem yapmak için internete bağlayın ve yalnızca cüzdan işlemleri için kullanın. Oyun oynamak, kripto haberlerini okumak ve arkadaşlarınızla sohbet etmek için başka bir cihaz kullanabilirsiniz.
- Bir bilgisayar tahsis etmek pratik veya ekonomik değilse, ana bilgisayarınızda katı dijital hijyen sağlayın. Kripto işlemleri için düşük ayrıcalıklara sahip (yönetici olmayan) ayrı bir hesap ve iş, sohbet ve oyunlar için yine yönetici olmayan başka bir hesap oluşturun. Sistem yazılımını güncellemek veya bilgisayarı önemli ölçüde yeniden yapılandırmak dışında yönetici modunda çalışmaya hiç gerek yoktur. Yalnızca cüzdanlarla işlem yapmak için özel “kripto hesabınızda” oturum açın ve hemen ardından oturumu kapatın. Yabancıların bilgisayara erişimine izin vermeyin ve yönetici parolalarını kimseyle paylaşmayın.
- Kripto cüzdan yazılımı seçerken dikkatli olun. Yazılımın açıklamasını dikkatlice inceleyin, uygulamanın uzun süredir piyasada olduğundan emin olun ve resmi web sitesinden indirdiğinizi ve dağıtımın dijital imzasının web sitesine ve satıcının adına karşılık geldiğini kontrol edin. Kripto cüzdan yazılımını kurmadan ve çalıştırmadan önce güncel bir güvenlik çözümü ile bilgisayarınızı derinlemesine tarayın.
- Güncellemelere dikkat edin. Genellikle tüm yazılımların hemen güncellenmesini tavsiye etsek de, kripto para uygulamaları söz konusu olduğunda, bu politikayı biraz değiştirmeye değer. Yeni bir sürüm yayınlandıktan sonra, yüklemeden önce yaklaşık bir hafta bekleyin ve yorumları okuyun. Bu, topluluğa, güncellemeye sızmış olabilecek hataları veya Truva atlarını yakalamak için zaman verecektir.
- Gelişmiş bilgisayar güvenliği önlemlerini uygulayın. Rehberlik için; bilgisayarınıza ve akıllı telefonunuza Kaspersky Premium gibi güçlü bir güvenlik çözümü yüklemeyi, işletim sisteminizi ve tarayıcılarınızı düzenli olarak güncellemeyi ve güçlü, benzersiz parolalar kullanmayı içeren Kripto yatırımlarını korumak: güvenlik için dört temel adım başlıklı yazımızı inceleyebilirsiniz.
- Kimlik avı teşebbüslerine karşı hazırlıklı olun. Kripto para dolandırıcılığı hem çok yönlü hem de sofistike olabilir, bu nedenle e-posta, mesajlaşma uygulaması ve benzeri yollarla gelen beklenmedik mesajlar bir dolandırıcılığın başlangıcı olarak görülmelidir. Blogumuzu ve diğer saygın siber güvenlik kaynaklarını takip ederek en son kripto dolandırıcılıklarından haberdar olun.
Kripto dolandırıcılığı ve kendinizi korumanın yolları hakkında daha fazla bilgi için özel yazılarımızı okuyun:
Tarihteki en cüretkâr kripto hırsızlıklarından sekizi
Şimdiye kadarki en büyük 5 kripto para soygunu
Vaka çalışması: sahte soğuk kripto para cüzdanı