Bybit Hack : 보안 조치 및 배운 교훈에 대한 탐구

$ 1.4B의 Bybit Exchange Hack이 역사상 가장 큰 역사상이되었다는 점을 고려할 때, 우리는이 플랫폼의 신뢰성과 전체 암호화 산업의 보안에 대한 중요한 교훈을 배워야합니다.

Considering that the Bybit exchange hack worth $1.4B became the largest in history, it requires us to learn crucial lessons about the reliability of this platform and the security of the whole crypto industry.

$ 1.4B의 Bybit Exchange Hack이 역사상 가장 큰 역사상이되었다는 점을 고려할 때, 우리는이 플랫폼의 신뢰성과 전체 암호화 산업의 보안에 대한 중요한 교훈을 배워야합니다.

Here, we will delve deeply into Bybit’s system security measures, as well as funds and customer protection, to better understand how one of the biggest crypto platforms with millions of users worldwide became a victim of a successful cyber attack.

여기서는 Bybit의 시스템 보안 조치뿐만 아니라 자금 및 고객 보호에 대해 깊이 파고 들기 위해 전 세계 수백만 명의 사용자와 함께 가장 큰 암호화 플랫폼 중 하나가 성공적인 사이버 공격의 희생자가 된 방법을 더 잘 이해할 것입니다.

Was Bybit Hacked?

Bybit이 해킹 되었습니까?

First things first, and let’s get a clear definition of “hack” and determine whether Bybit hacked. Hack means that some system has a vulnerability, and bad actors explored and exploited it earlier than the security team could fix it.

먼저 먼저 일을하고“해킹”에 대한 명확한 정의를 얻고 Bybit이 해킹되었는지 여부를 결정합시다. Hack은 일부 시스템은 취약성을 가지고 있으며 Bad Actors는 보안 팀이 수정 할 수있는 것보다 일찍 탐색하고 이용했습니다.

Thus, from a purely technical standpoint, a system can be considered hacked if:It has a known or zero-day vulnerability that was exploited by an attacker.The attacker gained unauthorized access to the system's internals or data.

따라서, 순전히 기술적 인 관점에서 볼 때, 시스템은 해킹당하는 것으로 간주 될 수 있습니다. 공격자가 악용 한 알려진 또는 제로 데이 취약성이 있으며 공격자는 시스템의 내부 또는 데이터에 대한 무단 액세스를 얻었습니다.

Let’s evaluate this from a technical perspective, with the recent research from two cybersecurity firms, Verichains and Sygnia Labs, being particularly helpful. Specifically, Verichains’ report clarifies that the issue was not on Bybit’s side but rather in the multi-sign service Safe:Proxy wallet management compromiseSpoofs the logic of the proxy contractFunds withdrawal

두 사이버 보안 회사 인 Verichains와 Sygnia Labs의 최근 연구가 특히 도움이되는 기술적 인 관점에서 이것을 평가합시다. 구체적으로, Verichains의 보고서는이 문제가 Bybit의 측면이 아니라 다중 서명 서비스 안전에서 켜져 있음을 명확히합니다. 프록시 지갑 관리 타협 프록시 계약을 철회하는 논리

Does This Mean That Bybit Was Not Hacked?

이것은 Bybit이 해킹되지 않았다는 것을 의미합니까?

First, let’s answer another question: Can a hack only occur due to technical reasons? Not really, because today’s systems are mostly too complex, meaning an attacker must develop a sophisticated attack that includes both technical vulnerabilities in the target system or its integrations, as well as social engineering, where the targets are internal staff, vendors, etc.

먼저, 또 다른 질문에 대답합시다 : 해킹은 기술적 인 이유로 만 발생할 수 있습니까? 실제로 오늘날의 시스템이 너무 복잡하기 때문에 공격자는 목표 시스템의 기술적 취약점 또는 통합, 대상이 내부 직원, 공급 업체 등의 사회 공학뿐만 ​​아니라 정교한 공격을 개발해야 함을 의미합니다.

Therefore, dividing attack tactics and scenarios into technical and non-technical categories does not provide a clear-cut definition, and it’s better to assess it based on the outcome.

따라서 공격 전술과 시나리오를 기술 및 비 기술적 범주로 나누는 것은 명확한 정의를 제공하지 않으며 결과에 따라이를 평가하는 것이 좋습니다.

One of the classic and precise ways to evaluate this is the CIA triad, which states that a system should be designed to ensure that its information maintains three key principles: Confidentiality, Integrity, and Availability.

이를 평가하는 고전적이고 정확한 방법 중 하나는 CIA 트라이어드 (CIA Triad)이며, 시스템은 기밀성, 무결성 및 가용성의 세 가지 주요 원칙을 유지하도록 시스템이 설계되어야한다고 말합니다.

Confidentiality – Not Compromised Overall

기밀성 - 전반적으로 손상되지 않습니다

Integrity – Compromised, But Not in Bybit’s Infrastructure

무결성 - 타협했지만 Bybit의 인프라는 아닙니다

Availability – Not Compromised Overall

가용성 - 전반적으로 손상되지 않습니다

After reviewing this situation from multiple perspectives, we can conclude that, strictly speaking, Bybit was not hacked, but it was subjected to a sophisticated and successful attack by the Lazarus Group, as discovered ZachXBT. Although the investigation is still ongoing, the latest reports indicate that Bybit’s systems, infrastructure, and data were not compromised, further confirming my initial assumption.

여러 관점 에서이 상황을 검토 한 후, 우리는 엄밀히 말하면 Bybit이 해킹되지 않았지만 Zachxbt가 발견 된 것처럼 Lazarus Group의 정교하고 성공적인 공격을 받았다는 결론을 내릴 수 있습니다. 조사는 여전히 진행 중이지만 최신 보고서에 따르면 Bybit의 시스템, 인프라 및 데이터가 손상되지 않아 초기 가정을 더욱 확인했습니다.

Bybit Security Measures

Bybit 보안 조치

Let’s use an analogy: suppose a criminal decides to rob a bank. If the bank lacks proper security, they can simply walk in, make threats, and leave with the stolen money. However, with many cameras and guards, the attacker will be forced to look for alternative ways to carry out the heist—otherwise, the risk would be too high.

비유를 사용합시다 : 범죄자가 은행을 강탈하기로 결정한다고 가정 해 봅시다. 은행에 적절한 보안이 부족한 경우, 단순히 들어가서 위협을 저지르고 도난당한 돈을 남길 수 있습니다. 그러나 많은 카메라와 경비원이 있으면 공격자는 습격을 수행하는 대안적인 방법을 찾아야합니다.

Now, this leads us to the logical conclusion that since the attackers chose not to conduct a direct attack but instead carried out a more complex and costly operation, it indicates that Bybit is well-protected against direct intrusions.

이제, 공격자들은 직접 공격을하지 않고 대신에 더 복잡하고 비용이 많이 드는 운영을 수행했기 때문에 Bybit이 직접적인 침입에 대해 잘 보호된다는 논리적 결론으로 ​​이어집니다.

Let’s look at the specific security mechanisms and protective measures Bybit has in place, which forced the attackers to compromise intermediaries rather than the platform itself.

Bybit Bybit이 보유한 특정 보안 메커니즘과 보호 조치를 살펴 보겠습니다. 이로 인해 공격자들은 플랫폼 자체가 아닌 중개자를 타협해야했습니다.

Asset Protection: Cold Wallets and Cryptographic Security

자산 보호 : 콜드 지갑 및 암호화 보안

Bybit places significant emphasis on the secure storage of assets, and ironically, this was not enough to prevent the incident. Specifically, they store the majority of funds in cold wallets, withdrawing a portion every three weeks to facilitate user withdrawals and other platform operations. In this context, they implement a triple-layer security system:Multi-Signature Authentication – Requiring multiple independent signatures for withdrawals from cold wallets, preventing unauthorized access.Trusted Execution Environment (TEE) – A secure execution environment that protects critical operations from external attacks.Threshold Signature Schemes (TSS) – Distributing signing authority among multiple independent participants to eliminate single points of failure.

Bybit은 자산의 안전한 저장에 중점을두고 있으며, 아이러니하게도, 이것은 사건을 예방하기에 충분하지 않았습니다. 구체적으로, 그들은 대부분의 자금을 차가운 지갑에 보관하여 3 주마다 일부를 철회하여 사용자 철수 및 기타 플랫폼 운영을 용이하게합니다. 이러한 맥락에서, 그들은 트리플 레이어 보안 시스템을 구현합니다. 다중 서명 인증-콜드 월렛에서 인출하기 위해 여러 독립적 인 서명이 필요하고, 무단 액세스를 방지합니다. TEE (Trusted Execution Environment)-외부 공격으로부터 중요한 운영을 보호하는 안전한 실행 환경 (TSS)-독립적 인 참가자들 사이에서 독립적 인 참여자들 사이에서 단일 참가자들 사이에서 권한을 분배하는 안전한 실행 환경.

However, as we now know, the third-party Multi-Signature Authentication service turned out to be one of the weak points. Yet, everything under Bybit’s direct control remained secure—otherwise, we would have seen all of the exchange’s funds be stored in hot wallets, exposed to direct attacks, and putting not just some wallets but the entire platform at risk.

그러나 우리가 알고 있듯이, 제 3 자 다중 서명 인증 서비스는 약점 중 하나로 판명되었습니다. 그러나 Bybit의 직접 통제하에있는 모든 것은 안전한 상태로 유지되었습니다. 즉, 우리는 모든 거래소의 자금이 핫 지갑에 저장되어 직접 공격에 노출되며 일부 지갑뿐만 아니라 전체 플랫폼을 위험에 빠뜨리는 것을 보았을 것입니다.

Real-Time Transaction Monitoring and Control

실시간 거래 모니터링 및 제어

As a part of its risk control system, Bybit implements continuous analysis of user activity and transactions.

Bybit은 위험 관리 시스템의 일환으로 사용자 활동 및 거래에 대한 지속적인 분석을 구현합니다.

User Behavior Analysis – The exchange detects and analyzes suspicious activities such as logins from new devices, abnormal transaction volumes, or IP address changes.Automated Authentication Enhancement – If the system detects deviations from normal behavior, such as an attempt to withdraw large amounts of funds, the user will be required to undergo additional identity verification.Notification and Logging System – Any changes to the account, login attempts, API key modifications, or large withdrawals are instantly recorded and reported to

사용자 행동 분석 - Exchange는 새로운 장치의 로그인, 비정상적인 트랜잭션 볼륨 또는 IP 주소 변경과 같은 의심스러운 활동을 감지하고 분석합니다. 자동화 된 인증 향상 - 시스템이 대량의 자금을 철회하려는 시도와 같은 정상적인 동작에서 편차를 감지하는 경우, 사용자는 추가 신분증 및 로그 시스템을 통해 필요합니다. 대규모 철수가 즉시 기록되고보고됩니다