Bybit, Diretas $1.5B (Rp21 triliun) akibat peretasan. CEO: "Kerugian bisa ditutup"

 (tradingview.com)
1 poin oleh GN⁺ 2025-02-23 | 2 komentar | Bagikan ke WhatsApp
  • Bursa kripto Bybit mengalami "penarikan mencurigakan" senilai sekitar $1,46 miliar
  • Dompet yang bermasalah tersebut mentransfer 401.346 ETH (sekitar $1,1 miliar) serta stETH (staked ETH) dan lainnya ke dompet baru
  • Dompet baru itu saat ini melikuidasi mETH dan stETH di bursa terdesentralisasi, dan sejauh ini dipastikan telah menjual stETH senilai sekitar $200 juta
  • CEO Bybit, Ben Zhou, melalui X menyatakan bahwa "satu cold wallet ETH tertentu diambil alih oleh peretas dan seluruh ETH dipindahkan"
    • Namun ia menambahkan bahwa "cold wallet lain aman, dan seluruh penarikan berjalan normal"
  • Kerugian senilai $1,46 miliar ini berpotensi tercatat sebagai insiden peretasan kripto terbesar sepanjang sejarah
    • Perbandingan dengan kasus peretasan besar sebelumnya:
      • Peretasan Mt. Gox (2014): kerugian $470 juta
      • Peretasan CoinCheck (2018): kerugian $530 juta
      • Peretasan Ronin Bridge (2022): kerugian $650 juta
    • Setelah kabar peretasan, Bitcoin (BTC) turun 1,5% dan Ethereum (ETH) turun lebih dari 2%

Isi pernyataan resmi CEO Bybit dan penjelasan dalam komentar

  • CEO Bybit mengumumkan di X bahwa cold wallet multisig ETH melakukan transfer ke warm wallet
    • Namun, transaksi tertentu ini dibuat "masked", sehingga UI yang dilihat para penanda tangan menampilkan alamat yang benar
    • URL juga ditampilkan sebagai layanan penandatanganan aman @safe (https://safe.global/wallet)
    • Tetapi pesan yang sebenarnya ditandatangani adalah untuk mengubah logika smart contract cold wallet ETH, yang pada akhirnya membuat peretas mengambil alih cold wallet dan memindahkan seluruh ETH
  • Sebagian besar hardware wallet tidak dapat menafsirkan transaksi smart contract EVM
    • Hardware wallet menggunakan metode "blind signing", dan mengasumsikan bahwa layar yang dilihat penanda tangan sesuai dengan data biner yang sebenarnya ditandatangani
    • Menurut CEO, URL yang benar telah diverifikasi, dan beberapa penanda tangan menandatangani dari lokasi berbeda menggunakan perangkat yang berbeda
    • Namun, UI semua penanda tangan telah dimanipulasi, yang mengindikasikan serangan yang canggih
  • Prediksi mengenai kemungkinan metode serangan
    • Manipulasi tautan penandatanganan
      • Ada kemungkinan tautan penandatanganan dimanipulasi dalam proses pengiriman sehingga mengarah ke halaman phishing yang memakai domain homograf IDN
      • Atau situs safe.global yang asli mungkin rentan terhadap serangan injeksi skrip sehingga menyajikan UI yang dimanipulasi
    • Serangan sisi server
      • Ada kemungkinan server Bybit diretas sehingga menyajikan halaman yang telah dimanipulasi kepada para penanda tangan
    • Serangan sisi klien
      • Ada kemungkinan malware ditanamkan di browser para penanda tangan untuk memanipulasi UI
    • Serangan jaringan/DNS
      • Ada kemungkinan pengguna diarahkan ke situs palsu melalui DNS hijacking atau sertifikat TLS yang diterbitkan secara keliru
  • Kesimpulan: kemungkinan serangan canggih jangka panjang
    • Peretasan ini tampaknya dilakukan setelah memantau sistem internal Bybit dalam jangka waktu lama dan menganalisis prosesnya
    • Ada indikasi bahwa ini bukan sekadar serangan phishing biasa, melainkan serangan yang disesuaikan setelah memahami secara akurat proses penandatanganan internal perusahaan
    • Jika laporan analisis peretasan resmi dirilis ke depan, kemungkinan metode serangan yang lebih rinci diperkirakan akan terungkap

Bacaan terkait

2 komentar

 
GN⁺ 2025-02-23
Opini Hacker News
  • Ada informasi terkait kegagalan keamanan dalam insiden ini di blog Trail of Bits
  • Ada informasi dan spekulasi di dua artikel, tetapi ingin mengetahui detail teknisnya
    • Misalnya, penasaran apakah perangkat lunak klien telah dikompromikan, apakah pemegang kunci multisig menyerah pada rekayasa sosial, dan apakah penanda tangan menggunakan mesin air-gapped atau perangkat keras
  • Bertanya-tanya bagaimana Bybit bisa menutup kerugian sebesar 1,5 miliar dolar
    • Ingin tahu apakah mereka benar-benar memiliki keuntungan sebesar itu, atau apakah mereka mencoba menyelesaikannya dengan gaya MtGox
  • Tidak tahu bagaimana bursa kripto bekerja
    • Ingin tahu apakah ada yang bisa menjelaskannya dengan sederhana
    • Penasaran apakah ETH pengguna ada di dompet cold storage
    • Jika ya, mengapa bursa kripto menyimpan ETH pengguna di dompet yang bisa mengeksekusi transaksi tanpa persetujuan pengguna
    • Secara umum, penasaran mengapa perlu dompet cold storage sebesar itu untuk menjalankan bursa
    • Ingin tahu bagaimana mereka memiliki aset untuk menutup kerugian ini
  • Ada informasi lain tentang Bybit
    • Bybit tidak legal di Kanada
    • Bybit bermula di Singapura, dan Singapura adalah pusat global untuk kripto dan teknologi blockchain
    • Ada campuran informasi yang mengatakan Bybit aman dan yang mengatakan sebaliknya
  • Jika terhubung ke bursa, itu bukan cold wallet
  • Harus ada sesuatu seperti "transaksi final", yaitu setelah transaksi pertama ditambang, baik pengirim maupun penerima harus menandatangani
    • Jika tidak ditandatangani, dana dikembalikan
    • Ini tidak mencegah kebocoran kunci, tetapi dapat mencegah pengiriman ke alamat yang salah
  • Percaya pada kripto, tetapi sistem yang bisa memindahkan 1,5 miliar dolar ke akun lain tanpa peringatan apa pun tidaklah serius
  • Ingin tahu apakah ada orang yang bisa menjelaskan sebenarnya Bybit itu apa
    • Mencarinya saat peretasan diumumkan, tetapi justru bingung
    • Sebagian besar informasi mengatakan "penipuan"
  • Ada pernyataan "semua cold wallet lainnya aman, jadi tenang saja"
    • Sulit dipercaya
  • Bursa kripto WazirX diretas sekitar 300 juta dolar
    • Tidak ada tindakan terhadap CEO setelah peretasan pada Juli 2024
    • Ia berada di Dubai, dan mendapat persetujuan dari Mahkamah Agung Singapura untuk meratakan dana dan membagikannya kepada para pengguna
    • Tidak ada tindakan terhadap perusahaan/CEO, dan mereka bersiap memulai perusahaan/bursa lain