Safe Wallet publie une mise à jour concernant le piratage de Bybit (1,5 milliard de dollars) et liste de nouvelles améliorations de sécurité

Safe, la plateforme de portefeuilles multi-signatures au cœur du piratage de Bybit (1,5 milliard de dollars) le 21 février, a publié une mise à jour des conclusions de son enquête menée en collaboration avec la société de cybersécurité Mandiant. Elle a également détaillé les enseignements tirés de ce piratage et les mesures nécessaires pour renforcer la sécurité au sein de la communauté crypto.

Le FBI a imputé le piratage au groupe nord-coréen de menaces persistantes avancées TraderTraitor, qu'il a endentdans 2022 comme étant le même groupe connu sous le nom de Groupe Lazarus et d'autres appellations. Mandiant, qui désigne le groupe sous le nom UNC4899, a confirmé cette attribution, comme l'indiquait Safe son article du 6 mars. Les pirates informatiques sont soutenus par le gouvernement nord-coréen.

Le piratage était bien orchestré

Les attaquants ont compromis l'ordinateur portable d'un développeur de Safe qui « disposait d'un accès plus élevé pour exercer ses fonctions ». Ils ont également détourné des jetons de session AWS pour contourner l'authentification multifactorielle. 

L'enquête s'efforce toujours de comprendre les actions des attaquants après la compromission de l'ordinateur. Cette tâche est compliquée par le fait que les attaquants ont supprimé leur logiciel malveillant une fois leur mission terminée et effacé l'historique Bash. Bash est une interface en ligne de commande utilisée par les programmeurs sur les systèmes d'exploitation de type UNIX.

L'ordinateur du développeur a été compromis le 4 février, selon Safe, et les attaquants ont accédé à l'environnement AWS de Safe le lendemain. Du code JavaScript malveillant a été inséré sur le site web de Safe le 19 février. Le 21 février à 14h13 UTC, l'exploitation de la faille Bybit a eu lieu. Le code malveillant a été supprimé une minute plus tard, et la transaction frauduleuse Bybit s'est déroulée une minute après.

L'ordinateur a été compromis via un projet Docker. Docker est utilisé pour la conception d'applications. Les pirates avaient déjà utilisé des projets Docker pour insérer des logiciels malveillants. L'attaque visait la transaction suivante sur un portefeuille ETH Bybit multisignature hors ligne. 

Le PDG de Bybit, Ben Zhou, avait personnellement approuvé la transaction fatidique, qui visait à transférer une partie de ses ETH de stockage hors ligne vers un portefeuille en ligne après avoir reçu un lien falsifié de Safe.

Bybit a expliqué le jour du piratage : « Cette transaction a été manipulée grâce à une attaque sophistiquée qui a masqué l’interface de signature, affichant l’adresse correcte tout en modifiant latraclogique du contrat intelligent sous-jacent.

Lors de leur piratage, les attaquants ont contourné au moins cinq niveaux de sécurité du système Safe. Safe a listé plusieurs réinitialisations et améliorations mises en place pour éliminer les menacesdentet renforcer la sécurité. Les portefeuilles detracintelligents Safe et leur code source n'ont pas été affectés par le piratage.

Le piratage était évitable

« Les organisations Web3 ont besoin d'améliorations significatives de l'expérience utilisateur afin de simplifier la gestion sécurisée des transactions », a conclu Safe. « Actuellement, la signature de la transaction constitue le dernier rempart, et elle n'est efficace que si l'utilisateur comprend ce qu'il signe. »

Safe, souvent appelé Safe{Wallet}, est un portefeuille detracintelligent qui stocke les signatures et effectue des vérifications pour s'assurer que toutes les approbations requises sont obtenues avant qu'une transaction ne soit soumise à une blockchain.

Bien que Safe ait été compromis lors du piratage, les experts ont pointé du doigt la sécurité défaillante de Bybit. Bybit utilisait la version gratuite des services de Safe, présentée comme plus adaptée aux « amateurs de cryptomonnaies », alors que des logiciels plus sophistiqués étaient disponibles. 

Bybit avait constaté des mois auparavant que le logiciel était incompatible avec d'autres services de sécurité. Cela a empêché Zhou de voir tous les détails du transfert.

Les pirates informatiques avaient blanchi la totalité des 499 000 ETH volés avant le 4 mars.