Puntos clave
- Un archivo JavaScript seguro fue reemplazado con código malicioso el 19 de febrero a las 15:29:25 UTC.
- El ataque específicamente tuvo como objetivo la billetera fría multisig de Ethereum de Bybit.
Se han publicado informes forenses oficiales sobre el último hackeo de casi $1.5 mil millones de Bybit, revelando el ataque a través de la aplicación Safe, el mayor ecosistema de cuentas inteligentes en el EVM.
Conclusiones preliminares sobre el compromiso de la aplicación Safe
De acuerdo con los informes oficiales, el archivo JavaScript benigno de la aplicación Safe fue reemplazado con código malicioso el 19 de febrero a las 15:29:25 UTC, y tuvo como objetivo específico la billetera fría multisig de Ethereum de Bybit.
El ataque fue diseñado para activarse durante la próxima transacción en Bybit, que ocurrió el 21 de febrero a las 14:13:35 UTC.
A partir de los resultados de la investigación de las máquinas de los firmantes de Bybit y la carga útil del JavaScript malicioso almacenada en el archivo de Wayback, los expertos concluyeron que el compromiso ocurrió a través de una máquina de desarrollo de Safe: probablemente se comprometió/filtró una cuenta o clave API.
Los atacantes fueron específicamente tras Bybit, pero podrían haber afectado a cualquier intercambio o entidad.
Mientras tanto, Safe lanzó un comunicado oficial a través de X.
Declaración oficial de Safe
En su declaración oficial, el equipo de Safe reveló las siguientes conclusiones principales:
- Los hallazgos forenses confirmaron que el ataque dirigido fue realizado contra Bybit por el Grupo Lazarus.
- Los contratos inteligentes de Safe no fueron afectados, y el ataque se realizó comprometiendo la máquina de un desarrollador, afectando una cuenta operada por Bybit.
- Se informó que Safe Wallet añadió medidas de seguridad para eliminar el vector de ataque.
El equipo enumeró los siguientes problemas importantes en su declaración oficial:
- La revisión forense de investigadores externos de seguridad no indicó vulnerabilidades en los contratos inteligentes de Safe ni en el código fuente del frontend y servicios.
- Tras una investigación, Safe restauró su Safe Wallet en la red principal de Ethereum, completamente reconstruida, con infraestructura reconfigurada, eliminando el vector de ataque.
- El frontend de Safe Wallet sigue operativo, con medidas de seguridad adicionales.
- Se aconseja a los usuarios que ejerzan extrema precaución y se mantengan vigilantes al firmar transacciones.
El equipo destacó que Lazarus es un grupo de hackers norcoreano patrocinado por el estado, conocido por ataques sofisticados de ingeniería social a las credenciales de los desarrolladores, a menudo combinados con exploits de día cero.
Informe oficial del FBI sobre el hackeo de Bybit
El hackeo de Bybit de $1.5 mil millones fue el peor de la historia. El CEO del intercambio, Ben Zhou, también compartió los informes preliminares oficiales a través de X, junto con un informe oficial del FBI.
Según los informes, los actores maliciosos convirtieron algunos de los activos robados en BTC y otras criptomonedas a través de miles de direcciones en más blockchains. Se espera que estos activos se blanqueen y conviertan adicionalmente a fiat.
El FBI también instó a las entidades del sector privado a bloquear las transacciones con o derivadas de las direcciones de trader TraderTraitor, la referencia del FBI a la actividad cibernética maliciosa norcoreana.
Mientras tanto, CZ de Binance criticó las actualizaciones de Safe, citando un «lenguaje vago» y explicaciones poco claras sobre la explotación de la máquina de su desarrollador.
