Investigatorii forensici au descoperit că hackerii nord-coreeni din gruparea Lazarus au furat 1.5 miliarde de dolari de la Bybit după ce au spart dispozitivul unui dezvoltator de la platforma de portofele multisig Safe{Wallet}.
CEO-ul Bybit, Ben Zhou, a împărtășit concluziile a două investigații realizate de Sygnia și Verichains, care au ajuns la concluzia că atacul a pornit de la infrastructura Safe{Wallet}.
„Atacul a vizat în mod specific Bybit prin injectarea de JavaScript rău intenționat în app.safe.global, care a fost accesat de semnatarii Bybit. Payload-ul a fost conceput să se activeze doar atunci când anumite condiții erau îndeplinite. Această execuție selectivă a asigurat că backdoor-ul a rămas nedetectat de către utilizatorii obișnuiți în timp ce compromitea ținte de mare valoare,” a declarat Verichains.
„Pe baza rezultatelor investigației de pe mașinile semnatarilor Bybit și a payload-ului JavaScript rău intenționat găsit în Wayback Archive, concluzionăm cu tărie că contul/API Key AWS S3 sau CloudFront al Safe. Global a fost probabil divulgate sau compromise,” a adăugat Verichains.
„Două minute după ce tranzacția răuvoitoare a fost executată și publicată, au fost încărcate versiuni noi ale resurselor JavaScript în bucket-ul AWS S3 al Safe{Wallet}. Aceste versiuni actualizate aveau codul rău intenționat eliminat,” a adăugat Sygnia.
Sygnia a descoperit de asemenea că codul JavaScript rău intenționat (țintind portofelul rece Ethereum Multisig al Bybit) servit din bucket-ul AWS S3 al Safe{Wallet} și folosit pentru a redirecționa activele crypto ale Bybit către un portofel controlat de atacator a fost modificat cu două zile înainte de atacul din 21 februarie. În urma incidentului, investigația forensica a infrastructurii Bybit de către Sygnia nu a descoperit nicio dovadă de compromitere.
Concluziile lor au fost confirmate și astăzi de către Safe Ecosystem Foundation printr-o declarație care a relevat că atacul a fost realizat inițial prin spargerea unui dispozitiv al unui dezvoltator de la Safe{Wallet}, oferind astfel actorilor amenințări acces la un cont operat de Bybit.
De la incident, echipa Safe{Wallet} a restabilit serviciul pe Ethereum mainnet printr-o implementare treptată care a eliminat temporar integrarea nativă Ledger, dispozitivul/metoda de semnare folosit în jafurile crypto de la Bybit.
Implementarea treptată pentru restabilirea serviciilor Safe{Wallet} a adăugat de asemenea măsuri suplimentare de securitate, incluzând alerte de monitorizare îmbunătățite și validări suplimentare pentru hash-ul tranzacției, datele și semnăturile.
Echipa Safe{Wallet} spune că a reconstruit complet și reconfigurat întreaga infrastructură și a rotit toate acreditările pentru a se asigura că vectorul de atac a fost eliminat și nu poate fi folosit în atacuri viitoare.
În timp ce o revizuire forensica realizată de cercetători externi în securitate nu a descoperit vulnerabilități în contractele inteligente Safe sau în codul sursă al front-end-ului și serviciilor sale, Safe sfătuiește utilizatorii să rămână vigilenți și să „exerseze o precauție extremă” atunci când semnează tranzacții.
Conform raportului BleepingComputer, hackerii nord-coreeni au interceptat o transferare planificată de fonduri de la unul dintre portofelele reci ale Bybit într-un portofel activ. Apoi au redirecționat activele crypto către o adresă de blockchain sub controlul lor, permițându-le să sustragă peste 1.5 miliarde de dolari în ceea ce este acum considerat cel mai mare jaf crypto din istorie.
„La 21 februarie 2025, aproximativ la 12:30 PM UTC, Bybit a detectat activitate neautorizată în unul dintre portofelele reci Ethereum (ETH) în timpul unui proces de transfer rutin. Transferul făcea parte dintr-o mutare programată a ETH din portofelul rece ETH Multisig către portofelul nostru activ,” a împărtășit Bybit într-un post-mortem publicat vineri.
„Din nefericire, tranzacția a fost manipulată printr-un atac sofisticat care a modificat logica contractului inteligent și a mascarat interfața de semnare, permițând atacatorului să obțină controlul portofelului rece ETH. Ca rezultat, peste 400,000 ETH și stETH în valoare de peste 1.5 miliarde de dolari au fost transferate către o adresă neidentificată.”
De atunci, Bybit a restabilit rezervele sale ETH și CEO-ul a spus că schimbul crypto este solvent chiar dacă activele pierdute nu vor fi recuperate complet.
În timp ce investiga atacul, investigatorul de fraudă crypto ZachXBT a descoperit legături între hackerii Bybit și infamul grup de amenințări nord-coreean Lazarus după ce atacatorii au trimis unele dintre fondurile furate de la Bybit către o adresă Ethereum folosită anterior în jafurile de la Phemex, BingX și Poloniex.
Concluziile lui ZachXBT au fost de asemenea confirmate de compania de inteligență blockchain TRM Labs și firma de analiză blockchain Elliptic, care au descoperit „suprapuneri substanțiale observate între adresele controlate de hackerii Bybit și cele legate de furturi nord-coreene anterioare” și au împărtășit mai multe informații despre încercările hackerilor de a încetini urmărirea.
În decembrie, compania de analiză blockchain Chainalysis a spus că hackerii nord-coreeni au furat 1.34 miliarde de dolari în 47 de jafuri crypto în 2024.
Elliptic a adăugat săptămâna aceasta că ei au „furat peste 6 miliarde de dolari în active crypto începând cu 2017, cu încasările raportate cheltuite în programul de rachete balistice al țării.”
Leave a Reply