A Bybit divulgou um relatório preliminar da investigação sobre o ataque cibernético que resultou na perda de US$ 1,5 bilhão em criptomoedas, confirmando que o Lazarus Group, da Coreia do Norte, está por trás do incidente. O hack da Bybit, considerado o maior da história ocorrido em um único dia, aconteceu quando a exchange transferia fundos de uma carteira fria para uma carteira morna por meio da interface Safe (Wallet).
Durante o processo, um agente mal-intencionado conseguiu intervir e manipular a transação.
De acordo com a Sygnia, empresa de cibersegurança baseada em Tel Aviv, os hackers comprometeram um desenvolvedor da Safe. Em seguida, inseriram um malware específico para atingir os signatários da Bybit. O código malicioso alterou a transação no momento da assinatura, redirecionando os fundos para uma carteira sob controle dos atacantes.
Origem do hack da Bybit
A investigação preliminar indica que não houve comprometimento da infraestrutura da Bybit. Em vez disso, o ataque teve origem na infraestrutura da Safe(Wallet), especificamente em um bucket do Amazon Web Services (AWS) S3, utilizado para armazenar e distribuir arquivos estáticos.
Os hackers carregaram o malware para o AWS S3 e, quando os signatários da Bybit interagiram com a interface comprometida, houve a alteração da transação.
De acordo com o cofundador da SEAL 911, pcaversaccio, o Lazarus Group conseguiu acesso ao ambiente da Safe ao comprometer as credenciais de um desenvolvedor.
“Isso permitiu acesso ao AWS e ao S3 bucket. Um código JavaScript malicioso foi carregado e distribuído, alterando o conteúdo da transação durante o processo de assinatura”, explicou.
O ataque à Bybit foi altamente direcionado, ativando-se apenas quando o endereço da Bybit era identificado. Dois minutos após a execução da transação fraudulenta, os atacantes substituíram os arquivos comprometidos por versões legítimas a fim de ocultar os rastros da invasão.
Reações e medidas de segurança
O cofundador e ex-CEO da Binance, Changpeng Zhao (CZ), questionou a Safe sobre como o ataque foi possível.
“O que significa ‘comprometimento de uma máquina de desenvolvedor’? Como esse acesso foi obtido? Foi engenharia social, um vírus? Como um desenvolvedor tinha acesso a uma conta operada pela Bybit?”, questionou CZ.
A Safe afirmou que reconstruiu completamente sua infraestrutura e rotacionou todas as credenciais. Dessa forma, conseguiu eliminar o vetor de ataque, mas reforçou a necessidade de cautela ao assinar transações.
A Bybit informou que segue trabalhando para recuperar os fundos. A exchange garantiu que os usuários não serão impactados, pois obteve um empréstimo ponte para cobrir o déficit. Além disso, lançou programas de recompensa por bugs, oferecendo 10% do valor para quem conseguir recuperar os fundos e 5% para exchanges e mixers que ajudarem a congelá-los.
Pesquisadores da Ethereum estimam que a Bybit conseguiu recuperar cerca de US$ 100 milhões até o momento, incluindo US$ 43 milhões em mETH.
A investigação continua em andamento, buscando confirmação de mais detalhes sobre o ataque e eventuais riscos para outros usuários da Safe(Wallet).
Leave a Comment