2月21日にBybitが15億ドル相当のハッキング被害に遭った事件の中心となったマルチシグネチャウォレットプラットフォームSafeは、サイバーセキュリティ企業Mandiantと共同で実施したハッキングに関する調査結果の最新情報を公開した。また、ハッキングから得られた教訓と、暗号資産コミュニティ全体のセキュリティ強化に必要な対策についても詳細に説明した。.
米連邦捜査局(FBI)は、今回のハッキング事件の犯人を北朝鮮の高度持続的脅威グループ「TraderTraitor」と特定した。同局は2022呼ばれてきたグループと同一であると特定した。Safeは3月6日付のX記事で、このグループをUNC4899と呼んでいるMandiantが犯人であることを確認したと報じたdentハッカーたちは北朝鮮政府の支援を受けている。
ハッキングは綿密に計画されていた
攻撃者は、「職務を遂行するために高い権限を持っていた」Safe開発者のラップトップに侵入しました。また、AWSセッショントークンを乗っ取り、多要素認証を回避しました。.
捜査では、コンピュータへの侵入後の攻撃者の行動を解明しようと努めています。攻撃者が攻撃を終えるとマルウェアを削除し、Bashの履歴を消去したという事実が、この作業を複雑化させています。Bashは、 UNI系オペレーティングシステムでプログラマーが使用するコマンドラインインターフェースです。.
開発者のコンピュータは2月4日に侵入され、Safeが設立されました。攻撃者は翌日、SafeのAWS環境にアクセスしました。2月19日までに、Safeのウェブサイトに悪意のあるJavaScriptコードが挿入されました。そして、2月21日14時13分(UTC)にBybitのエクスプロイトが発生しました。悪意のあるコードは1分後に削除され、その1分後にBybitの盗難取引が発生しました。.
コンピュータはDockerプロジェクトを通じて侵害されました。Dockerはアプリケーションの設計に使用されます。ハッカーは以前にもDockerプロジェクトを利用してマルウェアを仕込んだことがありました。今回の攻撃は、 BybitのマルチシグコールドETHウォレットの次のトランザクション標的としていました
BybitのCEO、ベン・ジョウ氏は、Safeから偽のリンクを受け取った後、ETHの一部をコールドストレージからホットウォレットに移動する運命的な取引を個人的に承認した。.
Bybitはハッキング当日、「この取引は、署名インターフェースを隠蔽し、正しいアドレスを表示しながら基礎となるスマートコントラクトロジックを変更する高度な攻撃によって操作されたtracと説明した
攻撃者はハッキングにおいて、Safeのセキュリティを少なくとも5層回避しました。Safeは、dentされた脅威を排除し、セキュリティを強化するために実施した複数のリセットと機能強化策をリストアップしました。Safeのスマートtracウォレットとソースコードは、このハッキングの影響を受けませんでした。.
ハッキングは防ぐことができた
Web3組織は「安全なトランザクション管理を簡素化するUX(ユーザーエクスペリエンス)の大幅な改善を必要としている」とSafeは結論付けている。「トランザクションに署名する行為自体が現状では最後の防衛線であり、ユーザーが署名内容を理解できる場合にのみ効果を発揮する。」
Safe は、Safe{Wallet} という名前で呼ばれるスマートtracウォレットで、署名を保存し、トランザクションがブロックチェーンに送信される前に、必要な承認がすべて満たされていることを確認するためのチェックを実行します。.
Safeはハッキング被害に遭ったにもかかわらず、専門家はを非難して。BybitはSafeの無料版を利用していたが、これは「仮想通貨愛好家」向けとされていた。より高度なソフトウェアも利用可能だった。
Bybitは数ヶ月前から、このソフトウェアが他のセキュリティサービスと互換性がないことに気づいていた。そのため、周氏は送金の詳細を完全に把握することができなかった。.
ハッカーらは3月4日までに盗んだ499,000 ETHすべてをロンダリング
