Компания Safe{Wallet} опубликовала заявление по поводу атаки на Bybit. Экспертная оценка оставила бывшего генерального директора Binance Чанпенга Чжао с большим количеством вопросов, чем ответов, и он резко раскритиковал отчет, заявив, что он написан расплывчатыми формулировками, чтобы замять проблемы.
Согласно отчету, криминалистическая экспертиза целенаправленной атаки группы Lazarus на Bybit пришла к выводу, что атака на Bybit Safe была осуществлена через скомпрометированный компьютер разработчика Safe. В результате взлома была предложена замаскированная вредоносная транзакция, в ходе которой хакеры сняли средства с кошелька Bybit.
Согласно отчету, криминалистическая проверка, проведенная внешними специалистами по безопасности, не выявила каких-либо недостатков в смарт-tracSafe или исходном коде интерфейса и сервисов.
В отчете также указывалось, что команда Safe провела тщательное расследование и теперь восстановила работу Safe в основной сети Ethereum поэтапно. Команда Safe полностью перестроила и переконфигурировала всю инфраструктуру, а также обновила всеdentданные, обеспечив полное устранение вектора атаки.
Интерфейс Safe продолжает функционировать с дополнительными мерами безопасности. Однако в отчете содержится предупреждение пользователям о необходимости проявлять крайнюю осторожность и бдительность при подписании транзакций.
CZ критикует заключение эксперта-криминалиста Safe за недостаточную детализацию
Обычно я стараюсь не критиковать других участников индустрии, но иногда всё же это делаю. 😂
Это обновление от Safe не очень хорошее. В нём используются расплывчатые формулировки, чтобы завуалировать проблемы. После прочтения у меня больше вопросов, чем ответов.
1. Что означает «компрометация сейфа…» https://t.co/VxywHyzqXb
— CZ 🔶 BNB (binance) 26 февраля 2025 г.
Отчет вызвал резкую критику со стороны основателя и бывшего генерального директора Binance CZ. По словам CZ, отчет недостаточно подробен, чтобы ответить на все вопросы, и содержит серьезные пробелы в объяснении того, как произошло произошедшее. CZ сначала задался вопросом, что означает «взлом безопасной машины разработчика». Он также задался вопросом, как хакеры взломали указанную машину, и предположил, что это была социальная инженерия, вирус или что-то еще.
CZ также выразил обеспокоенность по поводу того, как машина разработчика получила доступ к учетной записи Exchange. Он спросил, был ли какой-либо код удаленно развернут с машины разработчика непосредственно в продакшн. CZ также выразил обеспокоенность по поводу того, как хакеры обошли этап проверки реестра у нескольких подписантов. Он задался вопросом, не допустили ли подписанты ошибок при проверке или же они использовали слепую подпись.
Компания Bybit также начала углубленное криминалистическое расследование,tracк работе фирмы по обеспечению безопасности блокчейна Sygnia и Verichains. Целью расследования стало изучение хостов трех подписантов в рамках расследования взлома на сумму 1,4 миллиарда долларов.
CZ также задался вопросом, является ли сумма в 1,4 миллиарда долларов крупнейшим адресом, управляемым с помощью Safe, и почему хакеры не атаковали другие кошельки. CZ также спросил, какие уроки могут извлечь из этого инцидента другие поставщики и пользователи «самостоятельных кошельков с мультиподписью».
В ходе расследования, проведенного компанией Sygnia, был сделан вывод, что причинойdent стал вредоносный код, исходящий из инфраструктуры Safe. В отчете также отмечается, что инфраструктура Bybit не была затронута или скомпрометирована каким-либо образом во время атаки. В отчете подчеркивается, что расследование будет продолжено для подтверждения полученных результатов.
Предварительные выводы Verichains показали, что 19 февраля безобидный JavaScript-файл app.safe.global был заменен вредоносным кодом, направленным на подрыв холодного кошелька Bybit для мультиподписи Ethereum . Следователи Verichains также рекомендовали провести дальнейшее расследование для подтверждения первопричины.
По сообщениям, группа Lazarus отмывает средства Bybit с помощью мем-монет
Базирующаяся в ОАЭ биржа Bybit на прошлой неделе стала жертвой хакерской атаки, в результате которой был нанесен ущерб на сумму 1,5 миллиарда долларов. Генеральный директор биржи заявил, что средства были выведены из одного из холодных мультиподписных кошельков Bybit.
Согласно данным блокчейна, северокорейская хакерская группировка Lazarus Group, предположительно стоящая за атакой, использовала мемкоины для отмывания украденных средств. Исследователь кибербезопасности ZachXBT сообщил, что Lazarus Group распространила несколько мемкоинов на платформе Pump.fun.
Binance также пострадала от злонамеренных атак киберпреступников. Недавно криптопредприниматель из Гонконга Джо Чжоу сообщил, что мошенники отправили ему сообщение на обычный Binance по которому он обычно получает коды подтверждения, и заявили, что доступ к его аккаунту был получен из Северной Кореи.
Джо Чжоу связался по телефону со злоумышленниками, которые ввели его в заблуждение, заставив перевести средства на другой кошелек. Чжоу удалось быстро отреагировать и вернуть большую часть своих средств до того, как хакеры cashих.
