Криптовалютная биржа Bybit опубликовала отчет о крупном инциденте в области безопасности. Исследование показало, что атака произошла из-за уязвимости инфраструктуры Safe{Wallet}.
Подробности инцидента
Неавторизованная активность была обнаружена 21 февраля 2025 года, когда Bybit выявила подозрительные транзакции с одного из своих холодных кошельков Ethereum (ETH). По данным отчета, взлом произошел во время операции с мультиподписью, когда средства с холодного кошелька переводились на горячий через Safe{Wallet}.
Результаты расследования
Sygnia и Verichains провели исследование и выявили ряд ключевых моментов: в ресурс Safe{Wallet}, размещенный на AWS S3, было внедрено вредоносное JavaScript. Были изменены временные метки и архивы публичной истории веб-страниц, что указывало на целенаправленное вмешательство.
Следствия атаки и выводы
Всего через две минуты после атаки и публичного раскрытия новые версии скомпрометированных файлов JavaScript были загружены в инфраструктуру Safe{Wallet}, что исключало вредоносный код. Bybit заявила, что ее собственная инфраструктура не была скомпрометирована, однако инцидент выявил уязвимости сторонних решений для кошельков.
Случай с Bybit подчеркивает важность обеспечения безопасности сторонних криптографических решений. Обо всех выявленных уязвимостях сообщено для минимизации риска повторения подобных инцидентов.
