Hack Bybit: plonger dans les mesures de sécurité et les leçons apprises

Étant donné que le piratage d'échange de bilan d'une valeur de 1,4 milliard de dollars est devenu le plus grand de l'histoire, il nous oblige à apprendre des leçons cruciales sur la fiabilité de cette plate-forme et la sécurité de toute l'industrie de la cryptographie.

Considering that the Bybit exchange hack worth $1.4B became the largest in history, it requires us to learn crucial lessons about the reliability of this platform and the security of the whole crypto industry.

Étant donné que le piratage d'échange de bilan d'une valeur de 1,4 milliard de dollars est devenu le plus grand de l'histoire, il nous oblige à apprendre des leçons cruciales sur la fiabilité de cette plate-forme et la sécurité de toute l'industrie de la cryptographie.

Here, we will delve deeply into Bybit’s system security measures, as well as funds and customer protection, to better understand how one of the biggest crypto platforms with millions of users worldwide became a victim of a successful cyber attack.

Ici, nous approfondirons les mesures de sécurité du système de Bybit, ainsi que les fonds et la protection des clients, pour mieux comprendre comment l'une des plus grandes plateformes cryptographiques avec des millions d'utilisateurs dans le monde est devenue victime d'une cyberattaque réussie.

Was Bybit Hacked?

Bybit a-t-il été piraté?

First things first, and let’s get a clear definition of “hack” and determine whether Bybit hacked. Hack means that some system has a vulnerability, and bad actors explored and exploited it earlier than the security team could fix it.

Tout d'abord, et obtenons une définition claire de «piratage» et déterminons si le bit piraté. Le piratage signifie qu'un système a une vulnérabilité et que de mauvais acteurs l'ont exploré et exploité plus tôt que l'équipe de sécurité ne pourrait le réparer.

Thus, from a purely technical standpoint, a system can be considered hacked if:It has a known or zero-day vulnerability that was exploited by an attacker.The attacker gained unauthorized access to the system's internals or data.

Ainsi, d'un point de vue purement technique, un système peut être considéré comme piraté si: il a une vulnérabilité connue ou zéro jour qui a été exploitée par un attaquant. L'attaquant a acquis un accès non autorisé aux internes ou aux données du système.

Let’s evaluate this from a technical perspective, with the recent research from two cybersecurity firms, Verichains and Sygnia Labs, being particularly helpful. Specifically, Verichains’ report clarifies that the issue was not on Bybit’s side but rather in the multi-sign service Safe:Proxy wallet management compromiseSpoofs the logic of the proxy contractFunds withdrawal

Évaluons cela d'un point de vue technique, avec les récentes recherches de deux sociétés de cybersécurité, Verichains et Sygnia Labs, étant particulièrement utiles. Plus précisément, le rapport de Verichains précise que la question n'était pas du côté de Bybit mais plutôt dans le service de service multi-signal: la gestion de portefeuille proxy compromet la logique du contrat de contrat proxy

Does This Mean That Bybit Was Not Hacked?

Cela signifie-t-il que le bit n'a pas été piraté?

First, let’s answer another question: Can a hack only occur due to technical reasons? Not really, because today’s systems are mostly too complex, meaning an attacker must develop a sophisticated attack that includes both technical vulnerabilities in the target system or its integrations, as well as social engineering, where the targets are internal staff, vendors, etc.

Tout d'abord, répondons à une autre question: un piratage ne peut-il se produire que pour des raisons techniques? Pas vraiment, car les systèmes d'aujourd'hui sont pour la plupart trop complexes, ce qui signifie qu'un attaquant doit développer une attaque sophistiquée qui comprend à la fois des vulnérabilités techniques dans le système cible ou ses intégrations, ainsi que l'ingénierie sociale, où les cibles sont du personnel interne, des fournisseurs, etc.

Therefore, dividing attack tactics and scenarios into technical and non-technical categories does not provide a clear-cut definition, and it’s better to assess it based on the outcome.

Par conséquent, diviser les tactiques d'attaque et les scénarios en catégories techniques et non techniques ne fournit pas de définition claire, et il est préférable de l'évaluer en fonction du résultat.

One of the classic and precise ways to evaluate this is the CIA triad, which states that a system should be designed to ensure that its information maintains three key principles: Confidentiality, Integrity, and Availability.

L'un des moyens classiques et précis d'évaluer cela est la triade de la CIA, qui stipule qu'un système doit être conçu pour garantir que ses informations conservent trois principes clés: la confidentialité, l'intégrité et la disponibilité.

Confidentiality – Not Compromised Overall

Confidentialité - non compromise dans l'ensemble

Integrity – Compromised, But Not in Bybit’s Infrastructure

Intégrité - compromis, mais pas dans l'infrastructure de Bybit

Availability – Not Compromised Overall

Disponibilité - Non compromis dans l'ensemble

After reviewing this situation from multiple perspectives, we can conclude that, strictly speaking, Bybit was not hacked, but it was subjected to a sophisticated and successful attack by the Lazarus Group, as discovered ZachXBT. Although the investigation is still ongoing, the latest reports indicate that Bybit’s systems, infrastructure, and data were not compromised, further confirming my initial assumption.

Après avoir examiné cette situation sous plusieurs perspectives, nous pouvons conclure que, à proprement parler, Bybit n'a pas été piraté, mais il a été soumis à une attaque sophistiquée et réussie du groupe Lazare, comme l'a découvert Zachxbt. Bien que l'enquête soit toujours en cours, les derniers rapports indiquent que les systèmes, l'infrastructure et les données de Bybit n'ont pas été compromis, confirmant davantage mon hypothèse initiale.

Bybit Security Measures

Mesures de sécurité

Let’s use an analogy: suppose a criminal decides to rob a bank. If the bank lacks proper security, they can simply walk in, make threats, and leave with the stolen money. However, with many cameras and guards, the attacker will be forced to look for alternative ways to carry out the heist—otherwise, the risk would be too high.

Utilisons une analogie: supposons qu'un criminel décide de voler une banque. Si la banque manque de sécurité, il peut simplement entrer, faire des menaces et partir avec l'argent volé. Cependant, avec de nombreuses caméras et gardes, l'attaquant sera obligé de rechercher d'autres moyens de réaliser le braquage - sinon, le risque serait trop élevé.

Now, this leads us to the logical conclusion that since the attackers chose not to conduct a direct attack but instead carried out a more complex and costly operation, it indicates that Bybit is well-protected against direct intrusions.

Maintenant, cela nous amène à la conclusion logique que, puisque les attaquants ont choisi de ne pas mener une attaque directe mais ont plutôt effectué une opération plus complexe et coûteuse, cela indique que le recours est bien protégé contre les intrusions directes.

Let’s look at the specific security mechanisms and protective measures Bybit has in place, which forced the attackers to compromise intermediaries rather than the platform itself.

Examinons les mécanismes de sécurité spécifiques et les mesures de protection que le concours a mis en place, ce qui a forcé les attaquants à compromettre les intermédiaires plutôt que sur la plate-forme elle-même.

Asset Protection: Cold Wallets and Cryptographic Security

Protection des actifs: portefeuilles froids et sécurité cryptographique

Bybit places significant emphasis on the secure storage of assets, and ironically, this was not enough to prevent the incident. Specifically, they store the majority of funds in cold wallets, withdrawing a portion every three weeks to facilitate user withdrawals and other platform operations. In this context, they implement a triple-layer security system:Multi-Signature Authentication – Requiring multiple independent signatures for withdrawals from cold wallets, preventing unauthorized access.Trusted Execution Environment (TEE) – A secure execution environment that protects critical operations from external attacks.Threshold Signature Schemes (TSS) – Distributing signing authority among multiple independent participants to eliminate single points of failure.

Bybit met un accent significatif sur le stockage sécurisé des actifs, et ironiquement, cela n'a pas été suffisant pour empêcher l'incident. Plus précisément, ils stockent la majorité des fonds dans des portefeuilles froids, en retirant une partie toutes les trois semaines pour faciliter les retraits des utilisateurs et autres opérations de plate-forme. Dans ce contexte, ils mettent en œuvre un système de sécurité à trois couches: authentification multi-signature - nécessitant plusieurs signatures indépendantes pour les retraits des portefeuilles froids, empêchant l'accès non autorisé.

However, as we now know, the third-party Multi-Signature Authentication service turned out to be one of the weak points. Yet, everything under Bybit’s direct control remained secure—otherwise, we would have seen all of the exchange’s funds be stored in hot wallets, exposed to direct attacks, and putting not just some wallets but the entire platform at risk.

Cependant, comme nous le savons maintenant, le service d'authentification multi-signature tiers s'est avéré être l'un des points faibles. Pourtant, tout ce qui est sous le contrôle direct de Bybit est resté en sécurité - autrement, nous aurions vu tous les fonds de l'échange être stockés dans des portefeuilles chauds, exposés à des attaques directes et en mettant non seulement des portefeuilles, mais sur toute la plate-forme à risque.

Real-Time Transaction Monitoring and Control

Surveillance et contrôle des transactions en temps réel

As a part of its risk control system, Bybit implements continuous analysis of user activity and transactions.

Dans le cadre de son système de contrôle des risques, BYBIT met en œuvre une analyse continue de l'activité et des transactions des utilisateurs.

User Behavior Analysis – The exchange detects and analyzes suspicious activities such as logins from new devices, abnormal transaction volumes, or IP address changes.Automated Authentication Enhancement – If the system detects deviations from normal behavior, such as an attempt to withdraw large amounts of funds, the user will be required to undergo additional identity verification.Notification and Logging System – Any changes to the account, login attempts, API key modifications, or large withdrawals are instantly recorded and reported to

Analyse du comportement des utilisateurs - L'échange détecte et analyse les activités suspectes telles que les connexions à partir de nouveaux appareils, des volumes de transactions anormaux ou des modifications d'adresse IP. ou de grands retraits sont instantanément enregistrés et signalés