Tarihin en büyük kripto soygunu nasıl gerçekleşti?

Kripto para borsası Bybit'in CEO'su Ben Zhou, 21 Şubat gecesi rutin bir işlem gibi görünen bir işlemi onaylamak üzere bilgisayarına giriş yaptı. Şirketi, popüler bir dijital para birimi olan büyük miktarda Ether'i bir hesaptan diğerine aktarıyordu. Otuz dakika sonra Zhou, Bybit'in finans müdüründen bir telefon aldı. Yönetici titreyen bir sesle Zhou'ya sistemlerinin hacklendiğini söyledi. “Tüm Ethereum gitti” dedi.

F.B.I.'ya göre Zhou işlemi onayladığında, bir hesabın kontrolünü yanlışlıkla Kuzey Kore hükümeti tarafından desteklenen bilgisayar korsanlarına devretmiş oldu. 1,5 milyar dolarlık kripto para çalan korsanlar, sektör tarihindeki en büyük soygunu gerçekleştirmiş oldu.

Basit bir açıktan faydalandılar

Bilgisayar korsanları bu şaşırtıcı ihlali gerçekleştirmek için Bybit'in güvenliğindeki basit bir açıktan faydalandılar: Ücretsiz bir yazılım ürününe olan bağımlılığı. Bybit'e, borsanın yüz milyonlarca dolarlık müşteri mevduatını korumak için kullandığı halka açık bir sistemi manipüle ederek girdiler. Bybit, diğer güvenlik firmaları işletmeler için daha özel araçlar satarken bile Safe adlı bir teknoloji sağlayıcısı tarafından geliştirilen depolama yazılımına yıllarca güvendi.

Sektöre olan güven sarsıldı

Saldırı kripto piyasalarını serbest düşüşe geçirdi ve kritik bir zamanda sektöre olan güveni sarstı. Kripto dostu Trump yönetimi altında, endüstri yöneticileri, insanların birikimlerini dijital para birimlerine aktarmalarını kolaylaştıracak yeni ABD yasaları ve düzenlemeleri için lobi yapıyor. Kripto güvenlik uzmanları, soygunun Bybit'in güvenlik protokolleri hakkında ortaya çıkardığı şeylerden rahatsız olduklarını söylediler. Bir güvenlik firması, ihlalle ilgili bir analizinde kayıpların tamamen önlenebilir olduğunu yazdı ve bunun gerçekleşmemesi gerektiğini savundu.

“2025’te kabul edilebilir bir durum değil”

Safe'in depolama aracı kripto endüstrisinde yaygın olarak kullanılıyor. Ancak şirketler için tasarlanmış bir depolama sistemi sunan Fransız kripto güvenlik firması Ledger'ın yöneticilerinden Charles Guillemet, Safe'in milyarlarca müşteri mevduatını işleyen borsalardan ziyade kripto meraklıları için daha uygun olduğunu söyledi. Guillemet, “Bunun gerçekten değişmesi gerekiyor. Bu 2025'te kabul edilebilir bir durum değil” ifadelerini kullandı. 

FTX’ten bu yana en sert düşüş

Bybit'te hack olayı çılgınca bir 48 saat geçirilmesine yol açtı. Şirket 20 milyar dolarlık müşteri mevduatını denetliyor ancak 1,5 milyar dolarlık soygundan kaynaklanan kayıpları karşılamak için elinde yeterli Ether yoktu. 38 yaşındaki Zhou, diğer firmalardan borç alarak ve para çekme taleplerinin artışını karşılamak için kurumsal rezervlerden yararlanarak işletmeyi ayakta tutmak için yarıştı. Sosyal medyada, hırsızlıktan birkaç saat sonra stres seviyelerinin “çok kötü olmadığını” duyurarak şaşırtıcı derecede rahat görünüyordu. Kriz ortaya çıktıkça, sektör için bir gösterge olan Bitcoin'in fiyatı yüzde 20 düştü. Bu, gözden düşen patron Sam Bankman-Fried tarafından yönetilen borsa FTX'in 2022'deki başarısızlığından bu yana yaşanan en sert düşüştü.

Zhou bu hafta verdiği bir röportajda Bybit'in Safe ile ilgili olası sorunlar hakkında önceden uyarıda bulunduğunu kabul etti. Saldırıdan üç ya da dört ay önce şirketin yazılımın diğer güvenlik hizmetlerinden biriyle tam uyumlu olmadığını fark ettiğini söyledi. Zhou, “Yükseltme yapmalı ve Safe'den uzaklaşmalıydık. Şimdi kesinlikle bunu yapmayı düşünüyoruz” diye konuştu.

Safe'in baş ürün sorumlusu Rahul Rumalla yaptığı açıklamada, ekibinin kullanıcıları korumak için yeni güvenlik özellikleri oluşturduğunu ve Safe'in ürünlerinin “alandaki en büyük kuruluşlardan bazıları için hazine omurgası” olduğunu söyledi. Rumalla, “İşimiz sadece olanları düzeltmek değil, aynı zamanda tüm alanın bundan ders çıkarmasını sağlamak, böylece bunun bir daha yaşanmamasını sağlamak” dedi.

Dünyanın en büyük ikinci kripto borsası

2018 yılında kurulan Bybit, günlük yatırımcıların ve profesyonel yatırımcıların dolarlarını veya eurolarını Bitcoin ve Ether'e dönüştürebilecekleri bir kripto pazarı olarak faaliyet gösteriyor. Birçok yatırımcı Bybit gibi borsaları, kripto varlıklarını saklamak için yatırdıkları gayri resmi bankalar olarak görüyor. Bazı tahminlere göre Bybit, her gün on milyarlarca dolar işlem yapan dünyanın en büyük ikinci kripto borsası. Merkezi Dubai'de bulunan borsa Amerika Birleşik Devletleri'ndeki müşterilerine hizmet sunmuyor.

CEO’ya onaylattılar

Bybit'in saldırıya ilişkin denetimine göre perde arkasında bir grup bilgisayar korsanı Safe'in sistemine çoktan girmişti. Konuyla ilgili bilgi sahibi bir kişi, Safe geliştiricisine ait bir bilgisayarın ele geçirildiğini ve işlemleri manipüle etmek için kötü amaçlı kod yerleştirmelerini sağladıklarını aktardı. Safe üzerinden gönderilen bir bağlantı Zhou'yu transferi onaylamaya davet ediyordu. Bu bir hileydi. Zhou onayladığında, bilgisayar korsanları hesabın kontrolünü ele geçirdi ve 1,5 milyar dolarlık kripto çaldı. Ani çıkışlar, kripto işlemlerinin halka açık bir defteri olan blok zincirinde ortaya çıktı. Kripto analistleri, suçlunun Kuzey Kore hükümeti tarafından desteklenen bir bilgisayar korsanlığı grubu olan Lazarus Group olduğunu tespit etti.

Sosyal medyada açıkladı

O gece Zhou krizi yönetmek üzere Bybit'in Singapur'daki ofisine gitti. Saldırıyı sosyal medyada duyurdu ve şirkette P-1 olarak bilinen kriz protokolünü başlatarak liderlik ekibinin her üyesini uyandırmak için bir düğmeye bastı. Gece saat 1 sularında Zhou X'te bir canlı yayına çıktı ve müşterilere Bybit'in hala ödeme gücü olduğuna dair güvence verdi. Ancak bu güvenceler yeterli olmadı. Zhou, saatler içinde platforma yatırılan dijital para birimlerinin yaklaşık yarısının ya da 10 milyar dolara yakınının geri çekildiğini söyledi. Kripto piyasası dibe vurdu. Zararı sınırlamak için diğer kripto şirketleri yardım teklifinde bulundu. Rakip bir borsa olan Bitget'in CEO'su Gracy Chen, Bybit'e herhangi bir faiz ya da teminat talep etmeden 40 bin Ether, yani yaklaşık 100 milyon dolar borç verdi.Chen, “Bize geri ödeme yapma kabiliyetlerini asla sorgulamadık” dedi.

Kuzey Koreli hackerlar Bybit'i yağmaladıktan sonra çalınan fonları, diğer soygunlardan sonra da kullandıkları bir para aklama stratejisi olan geniş bir çevrimiçi kripto cüzdanları ağına yaydılar. Bir girişim yatırımcısı olan Haseeb Qureshi, hırsızlıktan sonra X'te “Lazarus Group başka bir seviyede” diye yazdı.

Güvenlik uzmanları Bybit'i kendisini riske attığı için suçladı. Zhou, saldırıya yol açan rutin transferi yetkilendirmek için kripto güvenlik firması Ledger tarafından tasarlanan bir donanım aracı kullandığını söyledi. Cihazın Safe ile senkronize olmadığını vurguladı. Dolayısıyla onayladığı işlemin tüm ayrıntılarını kontrol etmek için aracı kullanamadı ki bu kripto dünyasında her zaman riskli bir uygulamadır.

Carnegie Mellon Üniversitesi'nde bilgisayar mühendisliği profesörü ve dijital güvenlik firması Cubist'in kurucu ortaklarından Riad Wahby, “Safe size sık sık operasyonel transferler yapacaksanız isteyeceğiniz türden kontroller sağlamıyor” dedi. Zhou, Bybit'in savunmasını güçlendirmek için daha önce harekete geçmiş olmayı dilediğini söyledi. Zhou, yine de Bybit'in saldırıdan sonra çalışmaya devam ettiğini ve tüm para çekme işlemlerini 12 saat içinde gerçekleştirdiğini aktardı. İhlalden kısa bir süre sonra, X'te şirketin 3 milyar dolarlık bir kripto para daha taşıdığını duyurdu.