Peretasan Bybit senilai 2 triliun won: era kegagalan keamanan operasional telah tiba

 (blog.trailofbits.com)
3 poin oleh GN⁺ 2025-02-23 | 1 komentar | Bagikan ke WhatsApp
  • Pada 21 Februari 2025, cold wallet multisig di bursa Bybit diretas, menyebabkan kebocoran aset kripto senilai sekitar 1,5 miliar dolar AS
  • Peretas membobol perangkat para penanda tangan multisig dan memanipulasi apa yang dilihat para penanda tangan di antarmuka wallet
  • Para penanda tangan mengira mereka sedang menjalankan transaksi biasa, padahal mereka memberikan data tanda tangan yang diinginkan peretas
  • Ini menunjukkan bahwa metode peretasan bursa terpusat belakangan ini berubah dari mengeksploitasi kerentanan kode menjadi menyerang kelemahan keamanan operasional dan faktor manusia

Kasus peretasan serupa terbaru

  • Bursa WazirX (Juli 2024): kerugian 230 juta dolar AS
  • Radiant Capital (Oktober 2024): kerugian 50 juta dolar AS
  • Bursa Bybit (Februari 2025): kerugian 1,5 miliar dolar AS

Keterkaitan dengan kelompok peretas Korea Utara

  • Menurut analisis Arkham Intelligence dan ZachXBT, serangan ini dikonfirmasi terkait dengan kelompok peretas Korea Utara
  • Kelompok peretasan yang didukung negara di bawah Reconnaissance General Bureau (RGB) Korea Utara seperti TraderTraitor, Jade Sleet, UNC4899, Slow Pisces terlibat
  • Pola serangan kelompok peretas RGB
    • Menargetkan administrator sistem, pengembang, dan staf tim keuangan melalui kampanye social engineering
    • Menginfeksi personel kunci dengan penipuan rekrutmen yang disesuaikan dan serangan phishing
    • Memanfaatkan malware lintas platform untuk menginfeksi Windows, MacOS, dan berbagai wallet kripto
    • Memanipulasi layar transaksi yang dilihat pengguna untuk mendorong penandatanganan

Mengapa sistem keamanan yang ada menjadi tak berdaya

  • Penyerang terus menyempurnakan alat dan teknik mereka melalui serangan berulang
  • Alasan langkah keamanan umum sulit bertahan:
    • Organisasi dengan keamanan operasional yang lemah terpapar risiko besar
    • Bahkan sistem multisig pun dapat dimanipulasi
    • Menggunakan teknik serangan yang sulit dideteksi dengan solusi keamanan tradisional yang ada (EDR, firewall, dll.)

Realitas baru keamanan kripto

  • Memperkuat keamanan smart contract saja tidak lagi cukup
  • Kegagalan keamanan operasional kini menjadi faktor ancaman terbesar
  • Perusahaan harus membangun strategi keamanan dengan asumsi bahwa peretasan itu mungkin terjadi

Strategi keamanan yang wajib diterapkan perusahaan

  • Pemisahan infrastruktur
    • Sistem penandatanganan transaksi harus dipisahkan secara fisik/logis dari jaringan operasional umum
    • Terapkan hardware dan jaringan khusus, serta kontrol akses yang ketat
  • Pertahanan berlapis (Defense-in-Depth)
    • Gabungkan hardware wallet, multisig, dan alat verifikasi transaksi untuk membangun sistem keamanan majemuk
    • Yang dibutuhkan bukan satu langkah keamanan tunggal, melainkan strategi keamanan berlapis
  • Langkah kesiapan di tingkat organisasi
    • Lakukan threat modeling operasional dan teknis
    • Laksanakan audit dan evaluasi keamanan eksternal secara berkala
    • Jalankan pelatihan keamanan dan simulasi respons terhadap peretasan secara rutin
    • Susun rencana respons insiden yang konkret dan uji secara berkala

Panduan keamanan dari Trail of Bits

Kesimpulan: keamanan lama tak lagi mampu bertahan

  • Insiden peretasan Bybit menunjukkan bahwa keamanan kripto telah memasuki fase baru

  • Tanpa penguatan keamanan operasional, peretasan besar tak bisa dihindari

  • Pernyataan keras dari peneliti keamanan Tayvano menjelaskan situasi saat ini dengan gamblang:

    > "Begitu sebuah perangkat terinfeksi, semuanya berakhir. Jika kunci berada di hot wallet atau AWS, itu akan langsung diretas. Bahkan jika kunci ada di cold wallet, peretas hanya perlu sedikit usaha tambahan. Apa pun itu, pada akhirnya tetap akan diretas."

Langkah yang harus segera dilakukan perusahaan

  • Lakukan evaluasi risiko keamanan operasional
  • Terapkan infrastruktur penandatanganan Air-Gapped
  • Bekerja sama dengan tim keamanan yang berpengalaman menghadapi kelompok peretas yang didukung negara
  • Susun rencana respons insiden dan uji secara berkala

> "Peretasan 1 miliar dolar berikutnya hanya soal waktu; tanpa kesiapan, kerugian tak terelakkan"

Bacaan terkait

1 komentar

 
GN⁺ 2025-02-23
Komentar Hacker News

  • Insiden terkait terbaru: Bybit kehilangan 1,5 miliar dolar akibat peretasan

    • Para penyerang mencuri sekitar 1,5 miliar dolar dari dompet cold storage multi-signature
    • Para penyerang membobol perangkat beberapa penanda tangan, lalu memanipulasi apa yang dilihat para penanda tangan di antarmuka dompet sehingga mereka dapat mengumpulkan tanda tangan yang dibutuhkan sementara para penanda tangan mengira mereka sedang melakukan transaksi rutin

  • Jika para peretas bisa 'memanipulasi apa yang dilihat para penanda tangan di antarmuka dompet' melalui akses jarak jauh, itu tidak terlihat seperti cold storage

  • Ada tiga cara sebuah interaksi multi-signature bisa diretas:

    • Smart contract multi-signature dibobol
    • Komputer yang digunakan untuk menandatangani dibobol
    • Hardware wallet yang digunakan (ledger, trezor) dibobol

  • Kontrak multi-signature bernama Gnosis Safe tampaknya sangat tangguh, dan hardware wallet sangat sulit diserang. Titik lemah saat ini adalah komputer

  • Perusahaan kripto perlu mengatasi masalah ini dengan beralih ke perangkat khusus yang lebih terkunci untuk penandatanganan, serta benar-benar memeriksa apa yang ditampilkan di layar hardware wallet

  • Dunia keamanan online sangat kacau. Di bidang rekayasa lain, hampir tidak pernah ada situasi di mana sesuatu secara eksplisit menjadi sasaran yang dibuat oleh negara asing

    • Misalnya, gedung tinggi tidak dirancang untuk menahan pengeboman terus-menerus
    • Mobil juga tidak dirancang untuk menahan peluru tank
    • Jika Korea Utara membunuh orang atau menghancurkan bangunan kecil dengan misil, akan ada kemarahan publik dan respons militer yang cepat

  • Namun secara online, situasinya berbeda. Korea Utara bisa menyerang sistem sesuka hati mereka, dan respons utamanya adalah "seharusnya membangun sistem yang lebih aman"

    • Orang-orang Bybit mungkin bisa lebih berhati-hati, tetapi kita perlu menyadari betapa kacau lingkungan online itu

  • Postingan ini kurang memiliki detail tentang bagaimana peretasan itu terjadi

    • Dari pembicaraan tentang alat, saya bertanya-tanya apakah benar untuk memahami bahwa orang-orang ditipu agar mengunduh dan menjalankan perangkat lunak berbahaya

  • Para penyerang membobol perangkat beberapa penanda tangan, lalu memanipulasi apa yang dilihat para penanda tangan di antarmuka dompet sehingga mereka dapat mengumpulkan tanda tangan yang dibutuhkan sementara para penanda tangan mengira mereka sedang melakukan transaksi rutin

    • Saya penasaran apakah ada yang tahu berapa jumlah penanda tangannya

  • Pertanyaan serius dari seseorang yang hampir tidak tahu apa-apa tentang kripto: siapa sebenarnya yang kehilangan uang dalam serangan ini? Banyak individu?

  • Saya ingat ETH melakukan hard fork ketika 50 juta dolar dicuri 9 tahun lalu

  • Menurut pemahaman saya, alasan multi-signature ini gagal adalah karena seperti kebanyakan keamanan, semua orang hanya menekan 'ya' dan tidak berkomunikasi, menyelidiki, atau bertanya. Itu membuat tujuan multi-signature menjadi tidak berarti

  • Saya benar-benar tidak mengerti mengapa mereka tidak memisahkan ini ke beberapa dompet terpisah