Платформа Safe, использующая мультиподпись и оказавшаяся в центре взлома Bybit на сумму 1,5 миллиарда долларов 21 февраля, опубликовала обновленную информацию о результатах своего расследования, проведенного в сотрудничестве с компанией Mandiant, специализирующейся на кибербезопасности. В публикации также подробно изложены уроки, извлеченные из взлома, и необходимые меры для усиления безопасности в криптосообществе.
Федеральное бюро расследований США возложило вину за взлом на северокорейскую группу киберпреступников TraderTraitor, которую идентифицировало dent что и Lazarus Group и под другими названиями. Компания Mandiant, которая называет эту группу UNC4899, подтвердила это обвинение, говорится от 6 марта. Хакеры пользуются поддержкой правительства Северной Кореи.
Взлом был хорошо спланирован
Злоумышленники взломали ноутбук разработчика Safe, который «имел расширенные права доступа для выполнения своих обязанностей». Они также похитили токены сессий AWS, чтобы обойти многофакторную аутентификацию.
Расследование все еще пытается понять действия злоумышленников после взлома компьютера. Эта задача осложняется тем, что после завершения работы злоумышленники удалили вредоносное ПО и очистили историю Bash. Bash — это интерфейс командной строки, используемый программистами в операционных системах типа UNI.
Компьютер разработчика был взломан 4 февраля, установила система Safe, и на следующий день злоумышленники получили доступ к среде AWS Safe. К 19 февраля на веб-сайте Safe был внедрен вредоносный JavaScript-код. 21 февраля в 14:13 UTC произошла атака Bybit. Вредоносный код был удален через минуту, и еще через минуту произошла транзакция взлома Bybit.
Компьютер был взломан через проект Docker. Docker используется при разработке приложений. Хакеры и раньше использовали проекты Docker для внедрения вредоносного ПО. Атака была направлена на следующую транзакцию в холодном ETH-кошельке Bybit с мультиподписью.
Генеральный директор Bybit Бен Чжоу лично одобрил эту злополучную транзакцию, которая должна была перевести часть ETH из холодного хранилища в горячий кошелек после получения поддельной ссылки от Safe.
В день взлома компания Bybit объяснила логику базового смарт-контракта» trac
Злоумышленники обошли как минимум пять уровней защиты Safe в ходе взлома. Safe перечислила несколько мер по сбросу настроек и улучшению безопасности, которые были приняты для устраненияdentугроз и повышения уровня защиты. Кошельки смарт-tracSafe и их исходный код не пострадали от взлома.
Взлом был предотвратим
Организации, использующие Web3, «нуждаются в существенных улучшениях пользовательского опыта, которые упростят безопасное управление транзакциями», — заключил Сейф. «Сам акт подписания транзакции в настоящее время является последней линией защиты, и он может быть эффективным только в том случае, если пользователь понимает, что он подписывает»
Safe, название которого часто пишут как Safe{Wallet}, — это кошелек для смарт-trac, который хранит подписи и выполняет проверки, чтобы гарантировать получение всех необходимых разрешений до отправки транзакции в блокчейн.
Несмотря на то, что Safe был взломан, эксперты раскритиковали Bybit за некачественную защиту. Bybit использовал бесплатную версию сервисов Safe, которая, по их словам, больше подходила для «криптоэнтузиастов», в то время как было доступно более совершенное программное обеспечение.
За несколько месяцев до этого компания Bybit заметила, что программное обеспечение несовместимо с другими сервисами безопасности. Это помешало Чжоу увидеть полную информацию о передаче данных.
хакеры отмыли все украденные 499 000 ETH.
