Ukrasti 1,5 milijardi dolara nije izgleda bilo teško: izvršni direktor Bybita, Ben Zhou, odobrio je ono što je izgledalo kao rutinski prijenos Ethera između računa tvrtke. Nepoznato njemu, hakeri su već kompromitirali računalo jednog od programera u tvrtki Safe, pružatelju besplatnog softvera koji je Bybit koristio za upravljanje kriptovalutama.

Kobna sigurnosna pogreška

Tehnička analiza, koju opisuje New York Times,  otkrila je da su napadači ugradili zlonamjerni kôd koji je izmijenio sustav za odobravanje transakcija. Kada je Zhou autorizirao ono što se činilo kao standardni interni prijenos, nehotice je predao kontrolu nad digitalnim novčanikom hakerima, koje je FBI kasnije identificirao kao članove sjevernokorejske hakerske skupine Lazarus. U času kad je Zhou primio poziv svog financijskog direktora trideset minuta nakon odobrenja: "Sav Ethereum je nestao," bila je završena najveća krađa kriptovaluta u povijesti.

Neprimjerena sigurnost za poslovne operacije

Sigurnosni stručnjaci identificirali su nekoliko ključnih tehničkih slabosti koje su omogućile proboj. Bybit se oslanjao na Safeov besplatni alat za pohranu, softver koji sigurnosni stručnjaci opisuju kao rješenje dizajnirano za pojedinačne korisnike kriptovaluta, a ne za velike operacije koje upravljaju milijardama dolara imovine.

Mjenjačnica je nastavila koristiti ovaj sustav unatoč poznatim problemima. Zhou je priznao da je "tri ili četiri mjeseca prije napada" tvrtka primijetila da Safe softver nije potpuno kompatibilan s jednom od njihovih drugih sigurnosnih usluga. Problem sinkronizacije između sigurnosnih komponenti spriječio je pravilnu verifikaciju transakcije. Prilikom autorizacije prijenosa, Zhou je koristio hardverski sigurnosni uređaj tvrtke Ledger, ali ovaj uređaj nije bio pravilno sinkroniziran sa Safeovim softverom.

"Uređaj nije bio sinkroniziran sa Safeom," objasnio je Zhou, što znači da "nije mogao koristiti alat za provjeru svih detalja transakcije koju je odobravao" – osnovna sigurnosna praksa u operacijama s kriptovalutama.

Potrošački alati u poslovnom okruženju

Charles Guillemet, direktor u francuskoj tvrtki Ledger, koja nudi specijalizirane sustave pohrane za poslovne operacije, naglasio je neadekvatnost postavljenog sustava: "Ovo se zaista mora promijeniti. To nije prihvatljiva situacija u 2025. godini."

Napad je istaknuo uobičajeni problem u industriji kriptovaluta: mjenjačnice koje rukuju milijardama imovine često koriste sigurnosne sustave dizajnirane za mnogo manje operacije. "Safe jednostavno ne pruža vrste kontrola koje biste željeli ako često obavljate operativne prijenose," objasnio je Riad Wahby, profesor računalnog inženjerstva na Sveučilištu Carnegie Mellon i suosnivač tvrtke za digitalnu sigurnost Cubist.

Posljedice za cijelu industriju

Ovaj sigurnosni incident razotkrio je dublje probleme u načinu na koji velike kripto tvrtke pristupaju sigurnosti. Kako je jedan sigurnosni stručnjak istaknuo, cijela industrija mora shvatiti rizike korištenja alata namijenjenih običnim korisnicima u poslovnom okruženju. "Sigurnosne mjere koje mogu biti sasvim dovoljne za osobu koja čuva nekoliko tisuća dolara u kriptovalutama potpuno su neprimjerene za mjenjačnice koje barataju milijardama."

Stručnjaci sada pozivaju na uvođenje strožih standarda za kripto mjenjačnice, posebice one s velikim prometom. Među ključnim preporukama je korištenje namjenskih sigurnosnih rješenja za poslovne korisnike umjesto alata za široku potrošnju. Također, predlažu se redovite neovisne sigurnosne revizije s javno dostupnim rezultatima, uvođenje standardnih protokola za odobravanje visokovrijednih transakcija te bolja kontrola pristupa za programere koja bi onemogućila manipulaciju kodom.