Недавний взлом биржи Bybit на сумму почти $1,5 млрд дал ценные уроки для всей криптосферы. В этой статье мы рассматриваем, как злоумышленники использовали Safe-клиент для компрометации.
Первоначальные выводы о компрометации Safe App
Официальные отчеты показали, что безопасный JavaScript файл приложения Safe был заменен на вредоносный код 19 февраля в 15:29:25 UTC. Эта атака специальным образом была нацелена на мультисиг-кошелек Bybit в сети Ethereum. Компрометация произошла через машину разработчика Safe, в которой была утечка учетной записи или API-ключа.
Официальное заявление Safe
В своем заявлении команда Safe сообщила, что атака была проведена группой Лазарь и повлияла на машинный аккаунт, подключенный к Bybit, однако смарт-контракты Safe остались невредимыми. Были добавлены дополнительные меры безопасности для ликвидации вектора атаки. Также сообщается, что внешние исследования безопасности не показали уязвимостей в смарт-контрактах Safe или исходном коде фронтенда.
Официальный отчет ФБР
В официальных отчетах ФБР говорится, что похищенные активы были частично обращены в BTC и другие криптовалюты. Эти активы предполагается отмыть и конвертировать в фиатные деньги через множество адресов на различных блокчейнах. Были даны рекомендации блокировать операции с адресами, связанными с деятельностью TraderTraitor — так ФБР называет вредоносную активность хакеров из КНДР.
В результате атаки было собрано множество уязвимостей в безопасных приложениях в криптосфере. Пользователи и компании должны быть внимательны и осторожны, проверяя безопасность своих систем.
