Eine Untersuchung von Sygnia Labs und Verichains bestätigte, dass Bybit-Hacker eine kompromittierte Safe Wallet-Entwicklungsmaschine ausnutzten, um Gelder zu stehlen. Während die Börse behauptet, dass ihre Systeme nicht gehackt wurden, hat Safe seine Infrastruktur neu konfiguriert, um die Schwachstellen zu beseitigen.
Bybit, eine der größten Kryptowährungsbörsen der Welt, wurde Opfer eines Diebstahls von Ethereum im Wert von über 1.400 Milliarden Dollar. Details des Angriffs, die in einem kürzlich gemeinsam von Sygnia Labs und Verichains durchgeführten forensischen Bericht enthüllt wurden, deuten auf einen ungewöhnlichen Vektor hin: Codemanipulation in der Plattform von Safe Wallet, einem Anbieter von Hardware-Wallets mit mehreren Signaturen, die von Institutionen verwendet werden.
Dem Bericht zufolge verschafften sich die Angreifer Zugriff auf eine Safe-Entwicklungsmaschine, um die JavaScript-Datei auf app.safe.global, dem offiziellen Asset-Management-Portal, zu ersetzen. Der Schadcode wurde während einer routinemäßigen Bybit-Transaktion aktiviert und leitete Gelder an Adressen um, die von der Lazarus Group kontrolliert wurden, einer mit Nordkorea verbundenen Hackergruppe, die für den Angriff verantwortlich gemacht wurde.
BEREITEN SIE IHR PORTEMONNAIE VORWährend Bybit behauptet, dass seine eigenen Systeme nicht kompromittiert wurden, birgt der Vorfall erhebliche Risiken für die Betriebssicherheit von Blockchain-Dienstanbietern.
Safe Wallet wiederum bestätigte die Schwachstelle und kündigte eine komplette Neukonfiguration seiner Infrastruktur an. Experten wie Michael Lewellen von Blockaid weisen jedoch darauf hin, dass der Angriff durch eine unabhängige Überprüfung der Transaktionen hätte verhindert werden können, ein Standard, der auf vielen Plattformen noch immer fehlt.
Silent Engineering: Wie Ghost-Code eindrang
Laut der von den Unternehmen vorgelegten forensischen Analyse begann der Angriff auf Bybit Wochen vor dem Diebstahl. Hacker der Lazarus Group haben mithilfe von Social-Engineering-Techniken einen Entwicklungscomputer für Safe Wallet kompromittiert. Laut Sygnia Labs wurde die Datei safe-transaction.js auf der Site app.safe.global durch eine bösartige Version ersetzt, die auf Amazon S3 gespeichert und über CloudFront, die Hosting- und Content-Delivery-Dienste von AWS, verteilt wurde.
Dieser getarnte Code Es funktionierte wie ein Trojanisches Pferd, da es inaktiv blieb, bis Bybit eine Routinetransaktion von seiner Multi-Signatur-Hardware-Wallet initiierte. Damals haben die Hacker Sie haben die Zieladressen geändert, ohne die für die Unterzeichner sichtbare Schnittstelle zu verändern.. Daraufhin genehmigten drei Führungskräfte von Bybit die Transaktion, da sie sie für legitim hielten, während das Skript die Gelder an von den Hackern kontrollierte Adressen umleitete.
Bitcoin kaufenVerichains hat festgestellt, dass Der Angriff wurde zeitlich so geplant, dass er mit einem geplanten Transfer zusammenfiel, um die Wirkung zu maximieren. Der Schadcode wurde zwei Minuten nach dem Diebstahl gelöscht, um Beweise zu vernichten, wurde jedoch in öffentlichen Archiven wie der Wayback Machine aufgezeichnet.
Bybit vs. Sicher: Der Kampf um die Verantwortung beim Hacken
Während Bybit behauptet, dass seine internen Systeme nicht gehackt wurden, führt Safe Wallet den Vorfall auf einen Hack auf einer einzelnen Entwicklungsmaschine zurück. Bybit-CEO Ben Zhou gab Details des forensischen Berichts zu X bekannt, während Safe einräumte, dass ein Entwicklungscomputer kompromittiert worden sei, was den Hack ermöglichte. Das Unternehmen teilte außerdem mit, dass Sicherheitsmaßnahmen hinzugefügt worden seien, um den Angriffsvektor zu eliminieren.
„Die forensische Überprüfung des von Lazarus angeführten Angriffs auf Bybit ergab, dass dieser Angriff auf das Safe Wallet von Bybit über eine kompromittierte Maschine eines Safe Wallet-Entwicklers durchgeführt wurde, was zum Vorschlag einer getarnten böswilligen Transaktion führte. „Lazarus ist eine staatlich geförderte nordkoreanische Hackergruppe, die für ihre ausgeklügelten Social-Engineering-Angriffe auf die Anmeldeinformationen von Entwicklern bekannt ist, manchmal in Kombination mit Zero-Day-Exploits“, sagte er.
bescheinigt
Blockchain Kurs
BasislevelNehmen Sie an diesem Kurs teil, in dem wir Blockchain auf klare, einfache und prägnante Weise erklären, damit Sie eine sehr klare Vorstellung davon haben, woraus diese neue Technologie besteht.
Lazarus Group: Nordkoreas finsteres Gespenst
Cybersicherheitsanalysten wie ZachXBT verfolgten die Spur der gestohlenen Gelder zu einem Netzwerk aus digitalen Geldbörsen, von denen viele mit früheren Hackerangriffen wie denen von Phemex und Atomic Wallet in Verbindung stehen. Die vom nordkoreanischen Regime finanzierte Lazarus Group hat Methoden perfektioniert, um mithilfe von Kryptowährungen Wirtschaftssanktionen zu umgehen.
EINLADEN UND GEWINNENDer Bybit-Hack macht auf ein systemisches Problem bei der Sicherheit der Blockchain-Infrastruktur aufmerksam: Die Abhängigkeit von Dritten setzt selbst die größten Akteure unvorhersehbaren Risiken aus. Dieser bedauerliche Vorfall unterstreicht die Notwendigkeit für Unternehmen, mehrschichtige Überprüfungen zu implementieren, von der Transaktionsanalyse bis hin zu einem strengen internen Zugriffsmanagement.
Für die Benutzer ist die Lektion zweierlei: Multi-Signatur-Wallets sind zwar theoretisch sicher, aber bei fehlgeschlagenen Betriebsabläufen nicht unverwundbar. Und angesichts von Akteuren wie der Lazarus Group, die hinsichtlich ihrer Komplexität mit denen von Nationalstaaten konkurrieren können, muss die Branche der Zusammenarbeit Vorrang vor dem Wettbewerb geben.
Die Investition in Kryptoassets unterliegt keinen umfassenden Regulierungen und ist aufgrund der hohen Volatilität möglicherweise nicht für Privatanleger geeignet. Zudem besteht das Risiko, den gesamten investierten Betrag zu verlieren.
