Un'indagine condotta da Sygnia Labs e Verichains ha confermato che gli hacker di Bybit hanno sfruttato un computer di sviluppo Safe Wallet compromesso per rubare fondi. Sebbene la borsa sostenga che i suoi sistemi non siano stati violati, Safe ha riconfigurato la sua infrastruttura per eliminare le vulnerabilità.
Bybit, uno dei più grandi exchange di criptovalute al mondo, ha subito un furto di Ethereum per un valore di oltre 1.400 miliardi di dollari. I dettagli dell'attacco, rivelati in un recente rapporto forense condotto congiuntamente da Sygnia Labs e Verichains, indicano un vettore insolito: la manipolazione del codice nella piattaforma di Safe Wallet, un fornitore di portafogli hardware multi-firma utilizzati dalle istituzioni.
Secondo il rapporto, gli aggressori hanno ottenuto l'accesso a una macchina di sviluppo Safe per sostituire il file JavaScript su app.safe.global, il portale ufficiale di gestione delle risorse. Il codice dannoso è stato attivato durante una transazione Bybit di routine, reindirizzando i fondi verso indirizzi controllati dal Lazarus Group, un gruppo di hacker legato alla Corea del Nord che è stato ritenuto responsabile dell'attacco.
PREPARA IL TUO PORTAFOGLIOSebbene Bybit affermi che i propri sistemi non sono stati compromessi, l'incidente espone a rischi critici la sicurezza operativa dei fornitori di servizi blockchain.
Safe Wallet, da parte sua, ha confermato la vulnerabilità e ha annunciato la completa riconfigurazione della sua infrastruttura. Tuttavia, esperti come Michael Lewellen di Blockaid sottolineano che l'attacco avrebbe potuto essere prevenuto tramite una verifica indipendente delle transazioni, uno standard ancora carente su molte piattaforme.
Ingegneria silenziosa: come si è infiltrato il codice fantasma
Secondo l'analisi forense presentata dalle aziende, l'attacco contro Bybit è iniziato settimane prima del furto. Gli hacker del gruppo Lazarus hanno compromesso un computer adibito allo sviluppo di Safe Wallet utilizzando tecniche di ingegneria sociale. Secondo Sygnia Labs, il file safe-transaction.js sul sito app.safe.global è stato sostituito con una versione dannosa archiviata su Amazon S3 e distribuita tramite CloudFront, i servizi di hosting e distribuzione di contenuti di AWS.
Questo codice camuffato Funzionava come un cavallo di Troia, poiché è rimasto inattivo finché Bybit non ha avviato una transazione di routine dal suo portafoglio hardware multi-firma. A quel tempo, gli hacker Hanno modificato gli indirizzi di destinazione senza alterare l'interfaccia visibile ai firmatari. Di conseguenza, tre dirigenti di Bybit hanno approvato la transazione ritenendola legittima, mentre lo script ha dirottato i fondi verso indirizzi controllati dagli hacker.
ACQUISTA BITCOINVerichains ha identificato che L'attacco è stato programmato per coincidere con un trasferimento programmato, massimizzando l'impatto. Il codice maligno venne eliminato due minuti dopo il furto, nel tentativo di cancellare le prove, ma venne registrato in archivi pubblici come Wayback Machine.
Confronto tra Bybit e Safe: la battaglia per la responsabilità dell'hacking
Mentre Bybit sostiene che i suoi sistemi interni non sono stati violati, Safe Wallet attribuisce l'incidente a una violazione di un singolo computer di sviluppo. Il CEO di Bybit Ben Zhou ha condiviso i dettagli del rapporto forense su X, mentre Safe ha riconosciuto che un computer di sviluppo è stato compromesso, consentendo l'attacco. Ha inoltre affermato di aver aggiunto misure di sicurezza per eliminare il vettore di attacco.
"La revisione forense dell'attacco condotto da Lazarus a Bybit ha concluso che questo attacco mirato al Safe Wallet di Bybit è stato realizzato tramite una macchina compromessa di uno sviluppatore di Safe Wallet, con conseguente proposta di una transazione dannosa mascherata. "Lazarus è un gruppo di hacker nordcoreano sponsorizzato dallo Stato, noto per i suoi sofisticati attacchi di ingegneria sociale contro le credenziali degli sviluppatori, talvolta combinati con exploit zero-day", ha affermato.
Certificato
Corso Blockchain
Livello di baseSegui questo corso in cui spieghiamo la blockchain in modo chiaro, semplice e conciso, così avrai un'idea molto chiara di in cosa consiste questa nuova tecnologia.
Gruppo Lazarus: lo spettro oscuro della Corea del Nord
Gli analisti della sicurezza informatica, come ZachXBT, hanno ricondotto i fondi rubati a una rete di portafogli digitali, molti dei quali collegati a precedenti attacchi informatici come quelli avvenuti a Phemex e Atomic Wallet. Il gruppo Lazarus, finanziato dal regime nordcoreano, ha perfezionato metodi per eludere le sanzioni economiche utilizzando le criptovalute.
INVITA E VINCIL'attacco informatico a Bybit evidenzia un problema sistemico nella sicurezza delle infrastrutture blockchain: affidarsi a terze parti espone anche i player più grandi a rischi imprevedibili. Questo sfortunato episodio rafforza la necessità per le aziende di implementare verifiche su più livelli, dall'analisi delle transazioni alla rigorosa gestione degli accessi interni.
Per gli utenti, la lezione è duplice: i portafogli multi-firma, pur essendo sicuri in teoria, non sono invulnerabili in caso di fallimento dei processi operativi. E di fronte a player come il Lazarus Group, la cui complessità rivaleggia con quella degli stati nazionali, il settore deve dare priorità alla collaborazione rispetto alla concorrenza.
Gli investimenti in criptovalute non sono completamente regolamentati, potrebbero non essere adatti agli investitori al dettaglio a causa dell'elevata volatilità e sussiste il rischio di perdere tutti gli importi investiti.
