Kuzey Kore hükümetinin desteklediği hacker’lar, 21 Şubat gecesi Bybit’ten 1.5 milyar dolar değerinde ethereum çaldı. Her şey, Bybit’in CEO’sunun gayet normal gibi gözüken bir linke tıklamasıyla başladı
Kripto para borsası Bybit’in CEO’su Ben Zhou, 21 Şubat gecesi rutin bir işlem gibi görünen bir talebi onaylamak üzere bilgisayarına giriş yaptı. Şirketi, popüler bir dijital para birimi olan büyük miktarda ethereum’u bir hesaptan diğerine aktarıyordu.
“Tüm ethereum gitti!”
30 dakika sonra Zhou’nun telefonu çaldı, arayan Bybit’in CFO’suydu. Titreyen bir sesle Zhou’ya sistemlerinin hack’lendiğini söyledi: “Tüm ethereum gitti”.
Amerikan Federal Soruşturma Bürosu FBI‘ın bulgularına göre Zhou işlemi onayladığında farkında olmadan hesabın kontrolünü Kuzey Kore hükümeti destekli hacker’lara verdi. 1.5 milyar dolar değerinde kripto para çaldılar. Bu sektör tarihinin en büyük vurgunu.
Bilgisayar korsanları bu şaşırtıcı soygunu gerçekleştirmek için Bybit’in güvenliğindeki basit bir açıktan faydalandılar: Bybit’in ücretsiz bir yazılım ürününe olan bağımlılığı. Bybit’e, borsanın yüz milyonlarca dolarlık müşteri mevduatını korumak için kullandığı halka açık bir sistemi manipüle ederek girdiler. Bybit, diğer güvenlik firmaları işletmeler için daha özel araçlar satarken bile Safe adlı bir teknoloji sağlayıcısı tarafından geliştirilen depolama yazılımına yıllarca güvenmişti.
Saldırı kripto piyasalarını serbest düşüşe geçirdi ve kritik bir zamanda sektöre olan güveni sarstı. Kripto dostu Trump yönetimi altında, sektör liderleri, insanların birikimlerini dijital para birimlerine aktarmalarını kolaylaştıracak yeni ABD yasaları ve düzenlemeleri için lobi yapıyor. Cuma günü Beyaz Saray’ın Başkan Donald Trump ve üst düzey sektör yetkilileriyle bir “kripto zirvesine” ev sahipliği yapması planlanıyor.
“Tamamen önlenebilir bir olay”
Kripto güvenlik uzmanları, soygunun Bybit’in güvenlik protokolleri hakkında ortaya çıkardıklarından endişeli olduklarını söyledi. İhlali inceleyen bir güvenlik firması yaptığı analizde kayıpların “tamamen önlenebilir” olduğunu belirtti ve “böyle bir şey asla yaşanmamalıydı” dedi.
Safe’in depolama aracı kripto endüstrisinde yaygın olarak kullanılıyor. Ancak şirketler için tasarlanmış bir depolama sistemi sunan Fransız kripto güvenlik firması Ledger’in yöneticilerinden Charles Guillemet, bu aracın milyarlarca müşteri mevduatını işleyen borsalardan ziyade kripto meraklıları için daha uygun olduğunu söyledi. Guilemet, “Bu gerçekten değiştirilmeli. 2025’te böyle bir durum kabul edilebilir değil” diye konuştu.
Bybit’te hack olayı çılgınca bir 48 saat geçirilmesine yol açtı. Şirket 20 milyar dolarlık müşteri mevduatını denetleyen borsanın 1,5 milyar dolarlık soygundan kaynaklanan kayıpları karşılamak için elinde yeterli ethereum yoktu. 38 yaşındaki Zhou, artan para çekme taleplerini karşılamak için diğer firmalardan borç alarak ve kurumsal rezervlerden yararlanarak işletmeyi ayakta tutmak için yarıştı. Sosyal medyada, hırsızlıktan birkaç saat sonra stres seviyelerinin “çok kötü olmadığını” duyurdu. Kulağa şaşırtıcı derecede rahat gelen bir açıklama.
Kriz ortaya çıktıkça, sektör bitcoin’in fiyatı yüzde 20 düştü. Bu, gözden düşmüş patron Sam Bankman-Fried tarafından yönetilen borsa FTX’in 2022’deki başarısızlığından bu yana görülen en sert düşüştü.
Zhou tehlikenin farkındaymış
Zhou bu hafta verdiği bir söyleşide Bybit’in önceden Safe’le ilgili olası problemler hakkında uyarıldığını kabul etti. Soygundan 3 veya 4 ay önce şirket, yazılımın kullandıkları bir başka güvenlik hizmetiyle tam olarak uyumlu olmadığını fark etti.
Zhou, “Bir geliştirme yapmalı ve Safe’ten vazgeçmeliydik. Şimdi kesinlikle bunu yapmayı planlıyoruz” dedi.
Safe’in baş ürün sorumlusu Rahul Rumalla yaptığı açıklamada, ekibinin kullanıcıları korumak için yeni güvenlik özellikleri oluşturduğunu ve Safe’in ürünlerinin “alandaki en büyük kuruluşlardan bazılarının omurgası” olduğunu söyledi. “İşimiz sadece bozulanı düzeltmek değil” diyen Rumalla, herkesin bundan ders çıkarmasını ve bir daha yaşanmamasını sağlamayı umduklarını belirtti.
2018 yılında kurulan Bybit, günlük yatırımcıların ve profesyonel yatırımcıların dolar veya avrolarını bitcoin ve ethereum’a dönüştürebilecekleri bir kripto pazarı olarak faaliyet gösteriyor. Birçok yatırımcı Bybit gibi borsaları, kripto varlıklarını tutmakiçin yatırdıkları gayriresmi bankalar olarak görüyor.
Bazı tahminlere göre her gün on milyarlarca dolar işlem yapan Bybit, dünyanın en büyük ikinci kripto borsası. Merkezi Dubai, Birleşik Arap Emirlikleri’nde bulunan borsa, Amerika Birleşik Devletleri’ndeki müşterilere hizmet sunmuyor.
O gece ne oldu?
Zhou verdiği söyleşide 21 Şubat günü Singapur’daki evinde biriken bazı işlerini bitirmekte olduğunu söyledi.
Ama önce o ve diğer iki yöneticinin bir hesaptan diğerine kripto para transferi için imza atması gerekiyordu. Bu rutin transferlerin güvenli olması gerekiyor: Bybit’te birden fazla imza gerekmesinin hırsızlara karşı koruma sağlaması hedefleniyordu.
Ancak Bybit’in saldırıya ilişkin denetimine göre, perde arkasında bir grup bilgisayar korsanı Safe’in sistemine çoktan girmişti. Konuyla ilgili bilgi sahibi bir kişi, hacker’ların Safe geliştiricisine ait bir bilgisayarı ele geçirdiklerini ve işlemleri manipüle etmek için kötü amaçlı kod yerleştirilmesini sağladıklarını söyledi.
Kuzey Kore destekli hacker grubu
Safe üzerinden gönderilen bir bağlantı Zhou’yu transferi onaylamaya davet ediyordu. Bu bir hileydi. Onay verdiğinde, bilgisayar korsanları hesabın kontrolünü ele geçirdi ve 1.5 milyar dolarlık kripto çaldı.
Ani çıkışlar, kripto işlemlerinin halka açık bir defteri olan blok zincirinde ortaya çıktı. Kripto analistleri, suçlunun Kuzey Kore hükümeti tarafından desteklenen bir hacker grubu olan Lazarus Group olduğunu tespit etti.
Zararı sınırlamak için diğer kripto şirketleri yardım teklifinde bulundu. Rakip bir borsa olan Bitget’in CEO’su Gracy Chen, Bybit’e herhangi bir faiz ya da teminat bile talep etmeden 40 bin ether ya da yaklaşık 100 milyon dolar borç verdi.
Bybit soygununun ardından Kuzey Koreli hacker’lar çalınan varlıkları geniş ağlarını kullanarak çeşitli kripto cüzdanlarına dağıttı. Bu tekniği bir başka soygundan sonra da kullanmışlardı.
Zhou, Bybit’in savunmasını güçlendirmek için daha önce harekete geçmiş olmayı dilediğini söyledi: “Şu anda pek çok pişmanlığım var; daha dikkatli olmalıydım”.
Zhou, yine de Bybit’in saldırıdan sonra çalışmaya devam ettiğini ve tüm para çekme işlemlerini 12 saat içinde gerçekleştirdiğini söyledi. İhlalden kısa bir süre sonra, X’te şirketin 3 milyar dolarlık bir kripto para daha taşıdığını duyurdu.: “Bu planlı bir manevra, bilginize sunarız. Bu sefer hack’lenmedik”
