Blockchain analiz firması Chainalysis, kripto para borsası Bybit’ten 1,46 milyar dolar çalan hackerların yöntemlerini detaylandırarak, Kuzey Kore’nin Lazarus Grubu tarafından kullanılan kara para aklama taktiklerine ışık tuttu.
21 Şubat’ta Bybit büyük bir saldırıya uğradı ve 1,46 milyar dolar değerinde Ether (ETH) ve diğer tokenleri kaybetti. Güvenlik platformu Blockaid, bu olayı tarihin en büyük borsa hack’i olarak tanımlarken, blockchain araştırmacısı ZachXBT, saldırının Kuzey Kore bağlantılı Lazarus Grubu tarafından gerçekleştirildiğini belirledi.
24 Şubat’ta Chainalysis, saldırının nasıl gerçekleştiğini açıklayan bir rapor yayımladı. Raporda, Kuzey Kore bağlantılı hackerlar tarafından kullanılan “yaygın bir oyun kitabı”na atıfta bulunarak saldırıda kullanılan teknikler ve yöntemler incelendi. Firma, grubun sosyal mühendislik taktiklerine ve çalınan varlıkları taşımak için karmaşık kara para aklama tekniklerine güvendiğini belirtti.
Bybit istismarcısının kara para aklama yöntemlerinin karmaşıklığını gösteren Chainalysis Reactor grafiği. Kaynak: Chainalysis: Chainalysis
Chainalysis, Bybit saldırısının adım adım detaylarını paylaştı
Chainalysis, saldırının Bybit’in soğuk cüzdan imzalayıcılarını hedef alan bir kimlik avı kampanyasıyla başladığını söyledi. Saldırganlar daha sonra Bybit’in kullanıcı arayüzüne erişim sağlayarak çoklu imza cüzdan uygulama sözleşmesini kötü amaçlı bir sürümle değiştirdi. Bu sayede yetkisiz fon transferlerini işleme koymaya başladılar.
Chainalysis’e göre, hackerlar Bybit’in Ethereum soğuk cüzdanından sıcak cüzdana yapılan rutin bir transferi engelledi. Ardından, yaklaşık 401.000 ETH’yi (1,46 milyar dolar) kendi adreslerine yönlendirdiler. Çalınan fonlar birden fazla ara cüzdana bölündü; bu, işlem izini gizlemek için yaygın olarak kullanılan bir taktik olarak tanımlandı.
“Çalınan varlıklar daha sonra ara adreslerden oluşan karmaşık bir ağ üzerinden taşındı. Bu dağıtım, izi gizlemek ve blockchain analistlerinin takip çabalarını zorlaştırmak için kullanılan yaygın bir taktiktir.”
Hackerlar, çalınan ETH’nin bir kısmını Bitcoin (BTC) ve Dai (DAI) gibi diğer varlıklara çevirdi. Varlıkları farklı ağlara taşımak için merkeziyetsiz borsalar (DEX’ler), zincirler arası köprüler ve Kimlik Doğrulama (KYC) protokolleri olmayan anlık takas hizmetleri kullanıldı.
Bunun ardından fonlar, birçok farklı cüzdanda hareketsiz halde tutuldu. Chainalysis, bunun Kuzey Koreli hackerlar tarafından sıklıkla kullanılan kasıtlı bir strateji olduğunu belirtti.
Chainalysis, “Aklama sürecini geciktirerek, genellikle bu tür yüksek profilli ihlallerin hemen ardından gelen yoğun incelemeyi atlatmayı amaçlıyorlar.” diye yazdı.
Çalınan 40 milyon dolarlık Bybit fonu donduruldu
Hackerların kara para aklama süreci devam ederken, Chainalysis blockchain’in doğasında bulunan şeffaflığın siber güvenlik firmalarına yasa dışı faaliyetleri izleme ve takip etme imkanı verdiğini vurguladı.
Chainalysis, halihazırda sektör içindeki bağlantılarıyla iş birliği yaparak Bybit’ten çalınan fonların 40 milyon dolarından fazlasını dondurmaya yardımcı oldu. Şirket, mümkün olan en fazla varlığı ele geçirmek için kamu ve özel sektörle iş birliğine devam edeceğini açıkladı.
Cointelegraph’a verdiği bir açıklamada Chainalysis, bu saldırının tehdit önleme konusunda proaktif yatırımların önemini gösterdiğini belirtti. Firma ayrıca, kullanıcı fonlarının korunmasında şeffaflığa ihtiyaç duyulduğunu vurguladı.
Chainalysis, “Borsalar, düzenleyicilerine ve kullanıcılarına, kullanıcı fonlarının nasıl korunduğunu açıklamak zorunda kalacak.” dedi.
Şirket, özel ve kamu sektörleri arasındaki güçlü ortaklıkların, topluluğun bu tür olaylara yanıt verme kapasitesini artırabileceğini ekledi.