A Safe{Wallet} divulgou um comunicado sobre a investigação direcionada à Bybit. O relatório forense deixou o ex-CEO Binance Changpeng Zhao, com mais perguntas do que respostas, e ele o criticou duramente, alegando que o relatório foi escrito em linguagem vaga para encobrir os problemas.
De acordo com o relatório , a análise forense do ataque direcionado do Lazarus Group à Bybit concluiu que o ataque à Bybit Safe foi realizado por meio de uma máquina de desenvolvimento da Safe comprometida. O ataque resultou na proposta de uma transação maliciosa disfarçada, na qual os hackers retiraram fundos da carteira da Bybit.
Segundo o relatório, a auditoria forense realizada por pesquisadores de segurança externos não indicou quaisquer deficiências nostracinteligentes da Safe ou no código-fonte do frontend e dos serviços.
O relatório também indicou que a equipe da Safe conduziu uma investigação minuciosa e agora reinstalou a Safe na rede principal Ethereum com uma implementação gradual. A equipe da Safe reconstruiu e reconfigurou completamente toda a infraestrutura e rotacionou todas asdent, garantindo que o vetor de ataque seja totalmente eliminado.
A interface Safe permanece operacional com medidas de segurança adicionais implementadas. No entanto, o relatório alertou os usuários para que tomem extremo cuidado e permaneçam vigilantes ao assinarem transações.
CZ critica o relatório forense da Safe por não ser suficientemente detalhado
Normalmente tento não criticar outros profissionais do setor, mas ainda assim acabo fazendo isso de vez em quando. 😂
Essa atualização da Safe não é muito boa. Ela usa uma linguagem vaga para contornar os problemas. Depois de lê-la, fiquei com mais dúvidas do que respostas.
1. O que significa "comprometer um dispositivo seguro… https://t.co/VxywHyzqXb
— CZ 🔶 BNB (@cz_ binance ) 26 de fevereiro de 2025
O relatório recebeu fortes críticas do fundador e ex-CEO Binance CZ. Segundo CZ, o relatório não é detalhado o suficiente para abordar todas as preocupações e apresenta lacunas significativas sobre como o incidente ocorreu. CZ questionou, em primeiro lugar, o que significa "comprometer uma máquina de desenvolvedor da Safe". Ele também questionou como os hackers comprometeram a máquina em questão e indagou se foi engenharia social, um vírus ou algo mais.
CZ também expressou preocupação sobre como a máquina de um desenvolvedor obteve acesso a uma conta da exchange. Ele questionou se algum código foi implantado remotamente da máquina do desenvolvedor diretamente para o ambiente de produção. CZ também expressou preocupação sobre como os hackers contornaram a etapa de verificação do livro-razão com múltiplas assinaturas. Ele questionou se as assinaturas falharam em verificar corretamente ou se realizaram uma assinatura às cegas.
A Bybit também iniciou uma investigação forense aprofundada,tracas empresas de segurança blockchain Sygnia e Verichains. O objetivo das investigações era analisar os servidores dos três signatários, como um desdobramento do ataque hacker de US$ 1,4 bilhão.
CZ também questionou se os US$ 1,4 bilhão representavam o maior endereço gerenciado usando o Safe e por que os hackers não atacaram outras carteiras. CZ também perguntou quais lições outros provedores e usuários de carteiras "com custódia própria e múltiplas assinaturas" podem aprender com essa experiência.
As investigações da Sygnia concluíram que a causa dodent foi um código malicioso originado na infraestrutura da Safe. O relatório concluiu que a infraestrutura da Bybit não foi afetada ou comprometida de forma alguma durante o ataque. O relatório destacou que as investigações serão aprofundadas para confirmar as recentes descobertas.
As conclusões preliminares da Verichains revelaram que o arquivo JavaScript benigno app.safe.global foi substituído em 19 de fevereiro por um código malicioso com o objetivo de comprometer a carteira fria Multisig Ethereum da Bybit. Os investigadores da Verichains também recomendaram que sejam realizadas investigações adicionais para confirmar a causa raiz.
O Lazarus Group supostamente lava fundos da Bybit por meio de moedas de memes
A corretora Bybit, sediada nos Emirados Árabes Unidos, foi vítima de hackers na semana passada, resultando em uma perda de US$ 1,5 bilhão. O CEO da corretora afirmou que os fundos foram retirados de uma das carteiras frias multisig da Bybit.
De acordo com dados on-chain, o grupo de hackers norte-coreano Lazarus Group, suspeito de ser o responsável pelo ataque, utilizou memecoins para lavar o dinheiro roubado. O pesquisador de cibersegurança ZachXBT relatou que o Lazarus Group distribuiu diversas memecoins na plataforma Pump.fun.
Binance também foi afetada por ataques maliciosos de cibercriminosos. Recentemente, o empreendedor de criptomoedas Joe Zhou, de Hong Kong, relatou que golpistas lhe enviaram uma mensagem pelo Binance , onde ele normalmente recebe seus códigos de verificação, informando que sua conta havia sido acessada da Coreia do Norte.
Joe Zhou entrou em contato por telefone com os atacantes, que o induziram a enviar fundos para uma carteira diferente. Zhou conseguiu agir rapidamente e recuperar a maior parte de seus fundos antes que os hackers realizassem cash.
