Safe Wallet pubblica un aggiornamento sull'attacco hacker da 1,5 miliardi di dollari a Bybit, elencando nuovi miglioramenti della sicurezza

Safe, la piattaforma di wallet multi-firma al centro dell'attacco hacker da 1,5 miliardi di dollari a Bybit del 21 febbraio, ha condiviso un aggiornamento dei risultati della sua indagine sull'attacco in collaborazione con la società di sicurezza informatica Mandiant. Ha inoltre dettagliato gli insegnamenti tratti dall'attacco e le azioni necessarie per rafforzare la sicurezza nell'intera comunità crypto.

L'FBI statunitense ha attribuito la colpa dell'attacco al gruppo nordcoreano TraderTraitor, che nel 2022 ha comedentriferisce al gruppo come UNC4899, ha confermato l'attribuzione, ha affermato nel suo articolo del 6 marzo. Gli hacker sono supportati dal governo nordcoreano.

L'attacco è stato ben orchestrato

Gli aggressori hanno compromesso il laptop di uno sviluppatore di Safe che "aveva maggiori diritti di accesso per svolgere le proprie mansioni". Hanno anche dirottato i token di sessione AWS per aggirare l'autenticazione a più fattori. 

L'indagine sta ancora cercando di comprendere le azioni degli aggressori dopo aver compromesso il computer. Questo compito è complicato dal fatto che gli aggressori hanno eliminato il malware al termine del loro lavoro e hanno cancellato la cronologia di Bash. Bash è un'interfaccia a riga di comando utilizzata dai programmatori nei sistemi operativi UNIX-like.

Il computer dello sviluppatore è stato compromesso il 4 febbraio, Safe è stato attivato e gli aggressori hanno avuto accesso all'ambiente AWS di Safe il giorno successivo. Il 19 febbraio è stato inserito codice JavaScript dannoso sul sito web di Safe. Il 21 febbraio alle 14:13 UTC si è verificato l'exploit Bybit. Il codice dannoso è stato rimosso un minuto dopo e la transazione di furto di Bybit ha avuto luogo un minuto dopo.

Il computer è stato compromesso tramite un progetto Docker. Docker è utilizzato nella progettazione di applicazioni. Gli hacker avevano già utilizzato progetti Docker in precedenza per inserire malware. L'attacco ha preso di mira la transazione successiva, un portafoglio ETH multisig cold di Bybit. 

Il CEO di Bybit, Ben Zhou, aveva personalmente approvato la transazione fatale, che avrebbe dovuto spostare parte dei suoi ETH da un cold storage a un hot wallet dopo aver ricevuto un link falsificato da Safe.

Bybit ha spiegato il giorno dell'attacco informatico: "Questa transazione è stata manipolata tramite un attacco sofisticato che ha mascherato l'interfaccia di firma, mostrando l'indirizzo corretto ma alterando latraclogica

Gli aggressori hanno aggirato almeno cinque livelli di sicurezza di Safe durante il loro attacco. Safe ha elencato diversi ripristini e miglioramenti introdotti per eliminare le minaccedente aumentare la sicurezza. I wallet di smarttracdi Safe e il suo codice sorgente non sono stati interessati dall'attacco.

L'attacco era prevenibile

Le organizzazioni Web3 "necessitano di significativi miglioramenti dell'esperienza utente (UX) che semplifichino la gestione sicura delle transazioni", ha concluso Safe. "L'atto stesso di firmare la transazione è attualmente l'ultima linea di difesa e può essere efficace solo se l'utente è in grado di comprendere cosa sta firmando"

Safe, il cui nome è spesso chiamato Safe{Wallet}, è un portafoglio pertracintelligenti che memorizza le firme ed esegue controlli per garantire che tutte le approvazioni richieste siano soddisfatte prima che una transazione venga inviata a una blockchain.

Nonostante Safe sia stato compromesso nell'attacco hacker, gli esperti hanno criticato Bybit per la sua scarsa sicurezza. Bybit utilizzava la versione gratuita dei servizi di Safe, descritta come più adatta agli "appassionati di criptovalute", mentre erano disponibili software più sofisticati. 

Bybit aveva notato mesi prima che il software non era compatibile con altri servizi di sicurezza. Questo impediva a Zhou di visualizzare tutti i dettagli del trasferimento.

gli hacker avevano riciclato tutti i 499.000 ETH rubati.