Lao Gao พูดถึง "การโจรกรรม Bybit และแฮกเกอร์ชาวเกาหลีเหนือ": ที่อยู่ธุรกรรมนั้นอ่านไม่ออกและระบุได้ยาก และต้องตำหนิว่าบุคลากรที่มีลายเซ็นหลายลายเซ็นไม่ได้ยืนยัน

อย่างไรก็ตาม Lao Gao ชี้ให้เห็นว่าแฮกเกอร์กำหนดเป้าหมายไปที่ผู้ลงนามรายแรกและฝังมัลแวร์ลงในอุปกรณ์ของเขาผ่านทางวิศวกรรมสังคม เมื่อพนักงานเปิดอินเทอร์เฟซการทำธุรกรรม ดูเหมือนไม่มีอะไรผิดปกติ แต่ในความเป็นจริงแล้ว "อินเทอร์เฟซของบัญชีธนาคารนี้เป็นของปลอม" ข้อมูลการโอนได้รับการแก้ไข เขากรอกลายเซ็นโดยไม่รู้ตัว จากนั้นคนที่สองและสามลงนามโดยไม่ได้สังเกตเห็นความผิดปกติ ส่งผลให้กระเป๋าเงินถูกขโมย:

เมื่อคุณมีกุญแจสามดอกแล้ว กระเป๋าเงินนั้นเป็นของคุณ (แฮ็กเกอร์) และคุณสามารถนำมันไปตามที่คุณต้องการ

Lao Gao กล่าวว่าผู้ลงนามคนที่สามคือ Ben Zhou ซีอีโอของ Bybit เมื่อเขาลงนาม ข้อมูลที่แสดงบนหน้าจอบนกระเป๋าสตางค์เย็นไม่สามารถถูกแฮ็กได้เหมือนกับคอมพิวเตอร์ ถ้าพูดตามหลักเหตุผลแล้ว ถ้าเขาดูหน้าจอเล็กๆ ดีๆ เขาอาจสังเกตเห็นบางสิ่งที่ผิดปกติและไม่ได้เซ็นชื่อ และสุดท้ายแล้วมันก็จะไม่ถูกขโมย:

แต่ทำไมเขาไม่สังเกตเห็น? มันไม่ใช่ความผิดของเขา นี่เป็นข้อเสียเปรียบของสกุลเงินเสมือนด้วย บัญชีสกุลเงินเสมือนไม่ระบุชื่อ ต่างจากบัญชีของเรา เลขบัญชีหนึ่งชื่อกับหนึ่งชื่อต้องตรงกันใช่ไหม? หากคุณดูที่จางซานและหลี่ซี คุณจะรู้ได้ทันทีว่าชื่อนั้นผิด และคุณจะพบกับปัญหา

สกุลเงินเสมือนไม่ระบุชื่อและมีหมายเลขบัญชีเท่านั้น และเลขบัญชีนี้ไม่ใช่เลข 6 หลัก หรือ 8 หลัก แต่เป็นสตริงยาวๆ ของเลขนับสิบที่อ่านไม่ออก ทุกคนมีความคล้ายคลึงกัน ดังนั้นจึงไม่ใช่เรื่องสมจริงที่จะขอให้ผู้คนยืนยันทีละคน พวกเขาทั้งหมดมีลักษณะเหมือนกันทุกประการ

นอกจากนี้เขามักจะยืนยันเรื่องนี้ในลักษณะนี้เขาจึงไม่สงสัยว่าตัวเลขสองตัวนี้ผิดแล้วจึงคลิกเพื่อยืนยัน เป็นผลให้ผู้รับผิดชอบสูงสุดคลิกการยืนยัน และในที่สุดเงินก็ถูกโอนออกไป หากเรื่องนี้ได้รับการยืนยันจาก AI ปัญหาก็อาจจะเล็กลง

ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลชี้ให้เห็นว่า Lao Gao มีความเข้าใจผิด

อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยบอก Dongzhong ว่า Lao Gao กล่าวว่าข้อเสียของสกุลเงินดิจิทัลคือเป็นการยากที่จะยืนยันธุรกรรมด้วยที่อยู่ที่อ่านไม่ออก Bybit มีคนหลายลายเซ็นสามคน ทุกคนมีโอกาสตรวจสอบ Lao Gao อาจเข้าใจผิดในเรื่องนี้ SOP ป้องกันการโจรกรรม พวกเขาทั้งหมดตรวจสอบว่ามีธุรกรรมพิเศษที่ยัดเยียดโดยพวกอันธพาลหรือไม่ จากนั้นปล่อยให้ผู้ลงนามกดยืนยันโดยไม่ตั้งใจ:

ในความเป็นจริง ปัญหาคืออินเทอร์เฟซหลายลายเซ็นที่พวกเขาลงชื่อเข้าใช้ตั้งแต่เริ่มต้นนั้นเป็นของปลอม Ben Zhou เน้นย้ำในการถ่ายทอดสดว่าพวกเขาได้รับการยืนยันแล้ว และข้อมูลใน Ledger ก็ได้รับการยืนยันเช่นกัน (เช่นเดียวกับข้อมูลที่เริ่มต้นเมื่อเริ่มต้น)

ด้วยการตรวจสอบข้อมูลใน Cold Wallet คุณจะไม่สามารถทราบได้ว่าธุรกรรมของคุณเกี่ยวข้องกับการแฮ็กวิศวกรรมสังคมหรือไม่ สิ่งนี้จะต้องมีการป้องกันตั้งแต่ต้น นี่เป็นกรณีแรกของการใช้ประโยชน์จากกระเป๋าเงินหลายลายเซ็น และไม่ได้อยู่ในขอบเขตของการป้องกันโดยคนเพียงสามคนที่ยืนยันข้อมูลกระเป๋าเงินเย็น

ผู้เชี่ยวชาญชี้ให้เห็นว่าเหตุการณ์การโจรกรรม Bybit ทำให้อุตสาหกรรมต้องตรวจสอบมาตรฐานการป้องกันความปลอดภัยอีกครั้ง นั่นคือ ก่อนที่จะเริ่มการทำธุรกรรม ผู้ริเริ่มที่มีลายเซ็นหลายลายเซ็นจำเป็นต้องใช้อุปกรณ์ที่ปลอดภัยและ SOP ที่กำจัดผลกระทบของวิศวกรรมสังคม เพื่อเสริมสร้างมาตรการป้องกันและหลีกเลี่ยงโศกนาฏกรรมที่คล้ายคลึงกันไม่ให้เกิดขึ้นอีก

*บทความนี้ยังดึงดูดข้อมูลเชิงลึกที่ยอดเยี่ยมของ Huli ผู้เชี่ยวชาญด้านความปลอดภัยอีกคนอีกด้วย สำหรับข้อมูลเพิ่มเติม โปรดดูโพสต์ Facebook ของเขา