De hackers achter de Bybit-hack zijn erin geslaagd om ongeveer $300 miljoen van de gestolen $1,4 miljard aan digitale activa uit te cashen, ondanks inspanningen van de industrie om hen tegen te houden. De hack heeft een debat aangewakkerd over hoe Web3-bedrijven in de toekomst soortgelijke aanvallen kunnen voorkomen.
Blinde handtekening kwetsbaarheden: ZKPs bieden potentiële oplossing na Bybit hack
Dit artikel is meer dan een jaar geleden gepubliceerd. Sommige informatie is mogelijk niet meer actueel.
GESCHREVEN DOOR
DELEN
Bybit Hack: 20% van de Gestolen Fondsen ‘Onzichtbaar’
Volgens rapporten hebben de cybercriminelen achter de Bybit-hack ongeveer $300 miljoen van de $1,4 miljard aan digitale activa die ze hebben gestolen, uitbetaald. De hackers zijn hierin geslaagd ondanks gerichte inspanningen van de crypto-industrie om hen tegen te werken. Tom Robinson, medeoprichter van crypto-onderzoeker Elliptic, zei dat de hackers zich nu richten op het ontwijken van beveiligingsexperts die proberen de gestolen fondsen te blokkeren.
Robinson, die stelt dat 20% van de fondsen “onzichtbaar” is geworden, zei dat de activiteit van de hackers, die zijn team kan zien, suggereert dat ze bijna 24 uur per dag werken.
“Elke minuut telt voor de hackers, die proberen de geldsporen te verwarren, en ze zijn extreem geraffineerd in wat ze doen,” zei de medeoprichter van Elliptic naar verluidt.
Zoals eerder gemeld door Bitcoin.com News, heeft de door Noord-Korea gesteunde Lazarus Group, die vermoedelijk achter de Bybit-hack zit, met succes een deel van de gestolen ether (ETH) geruild voor meer dan 6.000 bitcoin (BTC). Conversie naar BTC, dat bestand is tegen censuur, zou het bijna onmogelijk maken voor Bybit om de gestolen fondsen terug te krijgen.
Bovendien heeft de vermeende expertise van Noord-Korea in hacken en witwassen de taak van beveiligingsexperts — die $40 miljoen van de gestolen fondsen hebben geïdentificeerd — veel uitdagender gemaakt.
ZKPs een Schild Tegen Blindheid
Ondertussen heeft de omvang van de Bybit-hack, evenals het ogenschijnlijke vermogen van de hackers om verdedigingen te omzeilen, een debat aangewakkerd over wat Web3-bedrijven zouden moeten doen om soortgelijke aanvallen in de toekomst te voorkomen. Sommigen geloven dat de transparantie en de industriesamenwerking die na de aanval zijn gezien, de beste manieren zijn om hackers tegen te gaan.
Critici beweren echter dat het feit dat hackers, die bekend staan om het jarenlang bewaren van gestolen fondsen voordat ze deze liquideren, al hebben gecasht deze bewering ondermijnt. Anderen, zoals Nanak Nihal Khalsa, medeoprichter van Holonym, geloven dat zero-knowledge proofs (ZKPs) een aanval toegeschreven aan blind signing-kwetsbaarheden op Ledger hardware-wallets hadden kunnen voorkomen.
Hoewel het wordt gezegd dat het de basis is van veel privacy-behoudende protocollen, geloven Khalsa en anderen dat blind signing op geleende tijd leeft, en er moeten stappen worden ondernomen om verder voor de criminelen uit te blijven. Uitleggend hoe Holonym de aanval had kunnen voorkomen, zei Khalsa:
“Onze Human Wallet heeft een functie die blind signing voorkomt door een mens-leesbare transactie op een hardware-wallet te tonen in plaats van onleesbare data.”
In tegenstelling tot huidige oplossingen die veiligheid overbeloven maar onderleveren, zei Khalsa dat ZKP-oplossingen zoals Holonym als het nodige “schild” kunnen dienen dat ondertekenaars geïnformeerd houdt zonder snelheid of veiligheid in gevaar te brengen.
Hoewel er geen brede consensus is over hoe de industrie verder moet gaan na wat wordt beschreven als de grootste hack ooit, blijven ZKP-voorstanders zoals Khalsa benadrukken dat deze technologie een rol kan spelen in het heropbouwen van vertrouwen in de industrie.
