Safe, la plataforma de billetera multifirma responsable del hackeo de Bybit de $1.5 mil millones el 21 de febrero, compartió una actualización de los resultados de su investigación sobre el hackeo, en colaboración con la firma de ciberseguridad Mandiant. También detalló las lecciones aprendidas del hackeo y las acciones necesarias para fortalecer la seguridad en toda la comunidad cripto.
dent atribuyó el ataque al grupo norcoreano de amenazas persistentes avanzadas TraderTraitor, al que identificó en 2022 como el mismo grupo conocido como Grupo Lazarus y otros nombres. Mandiant, que se refiere al grupo como UNC4899, confirmó la atribución, según informó publicado en X el 6 de marzo. Los hackers cuentan con el respaldo del gobierno norcoreano.
El hackeo estuvo bien orquestado
Los atacantes comprometieron el portátil de un desarrollador de Safe que tenía mayor acceso para realizar sus tareas. También secuestraron tokens de sesión de AWS para eludir la autenticación multifactor.
La investigación aún intenta comprender las acciones de los atacantes tras comprometer el equipo. Esta tarea se complica porque los atacantes eliminaron el malware al finalizar y borraron el historial de Bash. Bash es una interfaz de línea de comandos utilizada por los programadores en sistemas operativos similares a UNIX.
El equipo del desarrollador fue comprometido el 4 de febrero, según lo establecido por Safe, y los atacantes accedieron al entorno de AWS de Safe al día siguiente. El 19 de febrero, se insertó código JavaScript malicioso en el sitio web de Safe. El 21 de febrero, a las 14:13 UTC, se produjo el exploit de Bybit. El código malicioso se eliminó un minuto después, y la transacción de robo de Bybit se realizó un minuto después.
El ordenador fue comprometido mediante un proyecto Docker. Docker se utiliza para diseñar aplicaciones. Los hackers ya habían utilizado proyectos Docker para insertar malware. El ataque se dirigió a la siguiente transacción, una billetera fría de ETH multifirma de Bybit.
El CEO de Bybit, Ben Zhou, había aprobado personalmente la fatídica transacción, que tenía como objetivo trasladar parte de su ETH del almacenamiento en frío a una billetera caliente después de recibir un enlace falsificado de Safe.
Bybit explicó el día del hackeo: “Esta transacción fue manipulada a través de un ataque sofisticado que enmascaró la interfaz de firma, mostrando la dirección correcta mientras alteraba la lógica subyacente del contrato inteligente” trac
Los atacantes eludieron al menos cinco capas de seguridad de Safe en su ataque. Safe enumeró varios restablecimientos y mejoras implementados para eliminar amenazasdenty aumentar la seguridad. Las billeteras detracinteligentes de Safe y su código fuente no se vieron afectados por el ataque.
El hackeo se pudo haber evitado
Las organizaciones Web3 «necesitan mejoras significativas en la experiencia de usuario (UX) que simplifiquen la gestión segura de las transacciones», concluyó Safe. «El acto de firmar la transacción en sí mismo es actualmente la última línea de defensa, y solo puede ser eficaz si el usuario entiende lo que está firmando»
Safe, cuyo nombre a menudo se denomina Safe{Wallet}, es una billetera detracinteligentes que almacena firmas y realiza verificaciones para garantizar que se cumplan todas las aprobaciones necesarias antes de enviar una transacción a una cadena de bloques.
Aunque Safe se vio comprometido en el ataque, los expertos han criticado a Bybit por su deficiente seguridad. Bybit utilizó la versión gratuita de los servicios de Safe, que se describió como más apropiada para los aficionados a las criptomonedas, mientras que existía software más sofisticado.
Bybit había notado meses antes que el software no era compatible con otros servicios de seguridad. Esto impidió que Zhou viera todos los detalles de la transferencia.
Los piratas informáticos habían lavado los 499.000 ETH que habían robado hasta el 4 de marzo.
