Safe, die Multi-Signatur-Wallet-Plattform, die im Zentrum des Bybit-Hacks vom 21. Februar stand, bei dem 1,5 Milliarden US-Dollar erbeutet wurden, veröffentlichte aktualisierte Ergebnisse ihrer Untersuchung des Hacks in Zusammenarbeit mit dem Cybersicherheitsunternehmen Mandiant. Darin werden auch die aus dem Hack gezogenen Lehren sowie die notwendigen Maßnahmen zur Stärkung der Sicherheit in der gesamten Krypto-Community erläutert.
Das US-amerikanische FBI macht die nordkoreanische APT-Gruppe TraderTraitor für den Hackerangriff verantwortlich. Die wurde dent führt , bestätigte diese Zuordnung, wie Safe berichtete . Die Hacker werden von der nordkoreanischen Regierung unterstützt.
Der Hack war gut orchestriert
Die Angreifer kompromittierten den Laptop eines Safe-Entwicklers, der „für die Ausübung seiner Aufgaben über höhere Zugriffsrechte verfügte“. Sie kaperten außerdem AWS-Sitzungstoken, um die Multifaktor-Authentifizierung zu umgehen.
Die Ermittlungen zielen weiterhin darauf ab, die Aktionen der Angreifer nach der Kompromittierung des Computers zu rekonstruieren. Erschwerend kommt hinzu, dass die Angreifer ihre Schadsoftware nach Abschluss ihrer Aktivitäten löschten und den Verlauf der Bash-Befehle entfernten. Bash ist eine Kommandozeilenschnittstelle, die von Programmierern in UNIX-ähnlichen Betriebssystemen verwendet wird.
Der Entwicklerrechner wurde am 4. Februar kompromittiert, wie Safe mitteilte, und die Angreifer verschafften sich am Folgetag Zugriff auf Safes AWS-Umgebung. Bis zum 19. Februar wurde schädlicher JavaScript-Code auf der Safe-Website eingeschleust. Am 21. Februar um 14:13 Uhr UTC erfolgte der Bybit-Angriff. Der Schadcode wurde eine Minute später entfernt, und die Bybit-Übernahme wurde eine Minute darauf durchgeführt.
Der Computer wurde über ein Docker-Projekt kompromittiert. Docker wird zur Anwendungsentwicklung eingesetzt. Die Hacker hatten bereits zuvor Docker-Projekte genutzt, um Schadsoftware einzuschleusen. Der Angriff zielte die nächste Transaktion einer Bybit Multisig Cold ETH Wallet ab.
Bybit-CEO Ben Zhou hatte die verhängnisvolle Transaktion persönlich genehmigt. Ziel der Transaktion war es, einen Teil der ETH-Bestände aus dem Cold Storage in eine Hot Wallet zu transferieren, nachdem das Unternehmen von Safe einen gefälschten Link erhalten hatte.
Bybit erklärte am Tag des Hacks: „Diese Transaktion wurde durch einen ausgeklügelten Angriff manipuliert, bei dem die Signaturschnittstelle verschleiert wurde, indem die korrekte Adresse angezeigt, gleichzeitig aber die zugrunde liegende Smart-Contract-Logik verändert wurde trac “
Die Angreifer umgingen bei ihrem Hack mindestens fünf Sicherheitsebenen von Safe. Safe veröffentlichte daraufhin mehrere Änderungen und Verbesserungen, die zur BeseitigungdentBedrohungen und zur Erhöhung der Sicherheit eingeführt wurden. Die Safe SmarttracWallets und der Quellcode blieben von dem Hack unberührt.
Der Hackerangriff wäre vermeidbar gewesen
„Web3-Organisationen benötigen deutliche Verbesserungen der Benutzerfreundlichkeit, um die sichere Transaktionsverwaltung zu vereinfachen“, so Safe. „Die Unterzeichnung der Transaktion selbst stellt derzeit die letzte Verteidigungslinie dar und ist nur dann wirksam, wenn der Benutzer versteht, was er unterschreibt.“
Safe, dessen Name oft auch Safe{Wallet} geschrieben wird, ist eine intelligentetrac-Wallet, die Signaturen speichert und Prüfungen durchführt, um sicherzustellen, dass alle erforderlichen Genehmigungen vorliegen, bevor eine Transaktion an eine Blockchain übermittelt wird.
Obwohl Safe bei dem Hack kompromittiert wurde, kritisierten Bybit für seine mangelhafte Sicherheit. Bybit nutzte die kostenlose Version der Safe-Dienste, die als eher für „Krypto-Hobbyisten“ geeignet beschrieben wurde, obwohl hochentwickeltere Software verfügbar gewesen wäre.
Bybit hatte bereits Monate zuvor festgestellt, dass die Software nicht mit anderen Sicherheitsdiensten kompatibel war. Dies verhinderte, dass Zhou die vollständigen Details der Übertragung einsehen konnte.
hatten die Hacker 499.000 ETH, die sie gestohlen hatten, gewaschen
