Hack-ul Bybit de $1,5 miliarde: Concluzii preliminare și raportul FBI – Atacul a început pe 19 februarie prin Safe App

Puncte cheie

• Un fișier JavaScript sigur a fost înlocuit cu cod malițios pe 19 februarie la 15:29:25 UTC.
• Atacul a țintit în mod specific Cold Wallet Multisig Ethereum al Bybit.

Rapoartele oficiale de investigație despre hack-ul recent de aproape $1,5 miliarde a Bybit au fost publicate, dezvăluind atacul prin aplicația Safe – cel mai mare ecosistem de conturi inteligente pe EVM.

Concluzii preliminare despre compromiterea aplicației Safe

Conform rapoartelor oficiale, fișierul JavaScript benign al aplicației Safe a fost înlocuit cu un cod malițios pe 19 februarie, la 15:29:25 UTC, și a țintit în mod specific Cold Wallet Multisig Ethereum al Bybit.

Se pare că atacul a fost conceput să se activeze în timpul următoarei tranzacții pe Bybit, care a avut loc pe 21 februarie, la 14:13:35 UTC.

Rezultatele investigației din computerele semnatarilor Bybit și din cache-ul payload-ului malițios JavaScript găsit pe Wayback Archive, experții au concluzionat că compromiterea a avut loc printr-un computer al unui developer Safe: un cont sau o cheie API a fost probabil compromisă/expusă.

Atacatorii au țintit în mod specific Bybit, dar ar fi putut lovi orice alt exchange sau entitate.

Între timp, Safe a emis o declarație oficială pe X.

Declarația oficială a Safe

În declarația sa oficială, echipa de la Safe a dezvăluit următoarele concluzii principale:

• Constatările judiciare au confirmat că atacul țintit a fost efectuat asupra Bybit de către Grupul Lazarus.
• Contractele inteligente ale Safe nu au fost afectate, iar atacul a fost realizat prin compromiterea unui computer al unui developer, care a afectat un cont operat de Bybit.
• Safe Wallet a adăugat măsuri de securitate pentru a elimina vectorul de atac.

Echipa a enumerat următoarele probleme importante în declarația oficială:

• Revizuirea judiciară a cercetătorilor externi de securitate nu a indicat vulnerabilități în contractele inteligente Safe sau în codul sursă al frontend-ului și serviciilor.
• În urma unei investigații, Safe a restaurat portofelul său pe mainnet-ul Ethereum, complet reconstruit, cu infrastructură reconfigurată, eliminând vectorul de atac.
• Frontend-ul portofelului Safe rămâne operațional, cu măsuri suplimentare de securitate.
• Utilizatorii sunt sfătuiți să manifeste o maximă precauție și să rămână vigilenți atunci când semnează tranzacții.

Echipa a subliniat că Lazarus este un grup de hackeri sponsorizat de statul nord-coreean, cunoscut pentru atacuri sofisticate de inginerie socială asupra acreditărilor dev, adesea combinate cu exploatări de tip zero-day.

Raportul oficial al FBI despre hack-ul Bybit

Hack-ul de $1,5 miliarde al Bybit a fost cel mai grav din istorie. CEO-ul exchange-ului, Ben Zhou, a distribuit și el rapoartele preliminare oficiale pe X, împreună cu un raport oficial al FBI.

Conform rapoartelor, infractorii cibernetici au convertit unele dintre activele furate în BTC și alte crypto pe mii de adrese pe mai multe blockchainuri. Se așteaptă că aceste active vor fi în continuare spălate și convertite în fiat.

FBI a încurajat, de asemenea, entitățile din sectorul privat să blocheze tranzacțiile cu sau derivate din adresele comercianților TraderTraitor – referința FBI la activitatea cibernetică malițioasă nord-coreeană.

Între timp, CZ de la Binance a criticat actualizările Safe, invocând un „limbaj vag” și explicații neclare despre exploatarea computerului dezvoltatorului lor.