CZ reage ao relatório forense detalhado da Bybit sobre o recente ataque hacker de US$ 1,4 bilhão

A Safe{Wallet} divulgou um comunicado sobre a investigação direcionada à Bybit. O relatório forense deixou o ex-CEO Binance Changpeng Zhao, com mais perguntas do que respostas, e ele o criticou duramente, alegando que o relatório foi escrito em linguagem vaga para encobrir os problemas. 

De acordo com o relatório, a análise forense do ataque direcionado do Lazarus Group à Bybit concluiu que o ataque à Bybit Safe foi realizado por meio de uma máquina de desenvolvimento da Safe comprometida. O ataque resultou na proposta de uma transação maliciosa disfarçada, na qual os hackers retiraram fundos da carteira da Bybit.

Segundo o relatório, a auditoria forense realizada por pesquisadores de segurança externos não indicou quaisquer deficiências nostracinteligentes da Safe ou no código-fonte do frontend e dos serviços. 

O relatório também indicou que a equipe da Safe conduziu uma investigação minuciosa e agora reinstalou a Safe na rede principal Ethereum com uma implementação gradual. A equipe da Safe reconstruiu e reconfigurou completamente toda a infraestrutura e rotacionou todas asdent, garantindo que o vetor de ataque seja totalmente eliminado.

A interface Safe permanece operacional com medidas de segurança adicionais implementadas. No entanto, o relatório alertou os usuários para que tomem extremo cuidado e permaneçam vigilantes ao assinarem transações. 

CZ critica o relatório forense da Safe por não ser suficientemente detalhado

Normalmente tento não criticar outros profissionais do setor, mas ainda assim acabo fazendo isso de vez em quando. 😂

Essa atualização da Safe não é muito boa. Ela usa uma linguagem vaga para contornar os problemas. Depois de lê-la, fiquei com mais dúvidas do que respostas.

1. O que significa "comprometer um dispositivo seguro… https://t.co/VxywHyzqXb

— CZ 🔶 BNB (@cz_binance) 26 de fevereiro de 2025

O relatório recebeu fortes críticas do fundador e ex-CEO Binance CZ. Segundo CZ, o relatório não é detalhado o suficiente para abordar todas as preocupações e apresenta lacunas significativas sobre como o incidente ocorreu. CZ questionou, em primeiro lugar, o que significa "comprometer uma máquina de desenvolvedor da Safe". Ele também questionou como os hackers comprometeram a máquina em questão e indagou se foi engenharia social, um vírus ou algo mais. 

CZ também expressou preocupação sobre como a máquina de um desenvolvedor obteve acesso a uma conta da exchange. Ele questionou se algum código foi implantado remotamente da máquina do desenvolvedor diretamente para o ambiente de produção. CZ também expressou preocupação sobre como os hackers contornaram a etapa de verificação do livro-razão com múltiplas assinaturas. Ele questionou se as assinaturas falharam em verificar corretamente ou se realizaram uma assinatura às cegas.

A Bybit também iniciou uma investigação forense aprofundada,tracas empresas de segurança blockchain Sygnia e Verichains. O objetivo das investigações era analisar os servidores dos três signatários, como um desdobramento do ataque hacker de US$ 1,4 bilhão. 

CZ também questionou se os US$ 1,4 bilhão representavam o maior endereço gerenciado usando o Safe e por que os hackers não atacaram outras carteiras. CZ também perguntou quais lições outros provedores e usuários de carteiras "com custódia própria e múltiplas assinaturas" podem aprender com essa experiência.

As investigações da Sygnia concluíram que a causa dodent foi um código malicioso originado na infraestrutura da Safe. O relatório concluiu que a infraestrutura da Bybit não foi afetada ou comprometida de forma alguma durante o ataque. O relatório destacou que as investigações serão aprofundadas para confirmar as recentes descobertas.

As conclusões preliminares da Verichains revelaram que o arquivo JavaScript benigno app.safe.global foi substituído em 19 de fevereiro por um código malicioso com o objetivo de comprometer a carteira fria Multisig Ethereum da Bybit. Os investigadores da Verichains também recomendaram que sejam realizadas investigações adicionais para confirmar a causa raiz.

O Lazarus Group supostamente lava fundos da Bybit por meio de moedas de memes

A corretora Bybit, sediada nos Emirados Árabes Unidos, foi vítima de hackers na semana passada, resultando em uma perda de US$ 1,5 bilhão. O CEO da corretora afirmou que os fundos foram retirados de uma das carteiras frias multisig da Bybit. 

De acordo com dados on-chain, o grupo de hackers norte-coreano Lazarus Group, suspeito de ser o responsável pelo ataque, utilizou memecoins para lavar o dinheiro roubado. O pesquisador de cibersegurança ZachXBT relatou que o Lazarus Group distribuiu diversas memecoins na plataforma Pump.fun.

Binance também foi afetada por ataques maliciosos de cibercriminosos. Recentemente, o empreendedor de criptomoedas Joe Zhou, de Hong Kong, relatou que golpistas lhe enviaram uma mensagem pelo Binance , onde ele normalmente recebe seus códigos de verificação, informando que sua conta havia sido acessada da Coreia do Norte. 

Joe Zhou entrou em contato por telefone com os atacantes, que o induziram a enviar fundos para uma carteira diferente. Zhou conseguiu agir rapidamente e recuperar a maior parte de seus fundos antes que os hackers realizassem cash.