A Safe, plataforma de carteira com múltiplas assinaturas que esteve no centro do ataque hacker de US$ 1,5 bilhão à Bybit em 21 de fevereiro, divulgou uma atualização das conclusões de sua investigação sobre o ataque, realizada em colaboração com a empresa de cibersegurança Mandiant. A empresa também detalhou as lições aprendidas com o ataque e as ações necessárias para fortalecer a segurança em toda a comunidade cripto.
dent atribuiu a responsabilidade pelo ataque cibernético ao grupo norte-coreano de ameaças persistentes avançadas TraderTraitor, identificado em 2022 como o mesmo grupo que já foi chamado de Grupo Lázaro e outros nomes. A Mandiant, que se refere ao grupo como UNC4899, confirmou a atribuição, segundo um artigo da Safe publicado em 6 de março. Os hackers são apoiados pelo governo norte-coreano.
O ataque foi bem orquestrado
Os invasores comprometeram o laptop de um desenvolvedor da Safe que "tinha acesso privilegiado para desempenhar suas funções". Eles também sequestraram tokens de sessão da AWS para burlar a autenticação multifator.
A investigação ainda busca compreender as ações dos atacantes após comprometerem o computador. Essa tarefa é complicada pelo fato de os atacantes terem excluído o malware ao final da operação e apagado o histórico do Bash. O Bash é uma interface de linha de comando usada por programadores em sistemas operacionais do tipo UNI.
O computador do desenvolvedor foi comprometido em 4 de fevereiro, informou a Safe, e os invasores acessaram o ambiente AWS da Safe no dia seguinte. Um código JavaScript malicioso foi inserido no site da Safe até 19 de fevereiro. Em 21 de fevereiro, às 14h13 UTC, ocorreu a exploração da vulnerabilidade Bybit. O código malicioso foi removido um minuto depois, e a transação de roubo da Bybit foi realizada um minuto após isso.
O computador foi comprometido por meio de um projeto Docker. O Docker é usado no desenvolvimento de aplicativos. Os hackers já haviam usado projetos Docker anteriormente para inserir malware. O ataque alvo a próxima transação em uma carteira fria multisig de Ethereum da Bybit.
O CEO da Bybit, Ben Zhou, havia aprovado pessoalmente a fatídica transação, que tinha como objetivo transferir parte de seus ETH do armazenamento offline para uma carteira online após receber um link falsificado da Safe.
No dia do ataque cibernético, a Bybit explicou trac ."
Os atacantes contornaram pelo menos cinco camadas de segurança do Safe em seu ataque. O Safe listou diversas redefinições e melhorias que implementou para eliminar ameaçasdente aumentar a segurança. As carteiras detracinteligentes do Safe e seu código-fonte não foram afetados pelo ataque.
O ataque era evitável
A Safe concluiu que as organizações Web3 “precisam de melhorias significativas na experiência do usuário (UX) que simplifiquem o gerenciamento de transações seguras”. “O ato de assinar a transação em si é atualmente a última linha de defesa e só pode ser eficaz se o usuário entender o que está assinando.”
Safe, cujo nome é frequentemente estilizado como Safe{Wallet}, é uma carteira detracinteligentes que armazena assinaturas e realiza verificações para garantir que todas as aprovações necessárias sejam atendidas antes que uma transação seja enviada para um blockchain.
Embora a Safe tenha sido comprometida no ataque, especialistas criticaram a Bybit por sua segurança precária. A Bybit utilizou a versão gratuita dos serviços da Safe, descrita como mais adequada para "entusiastas de criptomoedas", enquanto havia softwares mais sofisticados disponíveis.
A Bybit havia notado meses antes que o software não era compatível com outros serviços de segurança. Isso impediu Zhou de ver todos os detalhes da transferência.
Os hackers já haviam lavado todo o dinheiro roubado, equivalente a 499.000 ETH, até 4 de março.
