Safe представила результаты расследования из-за взлома на $1,5 млрд Bybit, подчеркивая необходимость усиления кибербезопасности в криптосообществе.
Подробности атаки
Федеральное бюро расследований США обвинило северокорейскую хакерскую группу TraderTraitor в атаке на платформу Safe, поддержанную правительством Северной Кореи. Safe и Mandiant подтвердили связь этой атаки с известной группой UNC4899. Злоумышленники взломали ноутбук разработчика Safe, обладавшего расширенными правами доступа. Используя токены AWS, хакеры обошли двухфакторную аутентификацию.
Вторжение и последствия
Компьютер разработчика был взломан 4 февраля, а 5 февраля хакеры получили доступ к AWS-окружению Safe. Они внедрили вредоносный код на сайт Safe 19 февраля. 21 февраля в 14:13 UTC произошла атака на Bybit. Малварь была удалена через минуту. Атака целилась в подписанную транзакцию холодного кошелька Bybit.
Выводы и рекомендации
Safe отмечает необходимость улучшения пользовательского интерфейса для безопасного управления транзакциями. Подпись транзакции — последний рубеж обороны, которая эффективна только в том случае, если пользователи понимают, что подписывают. Safe перечислила ресеты и улучшения, направленные на устранение угроз. Авторитеты критикуют Bybit за использование менее надежной версии Safe. Хакеры отмыли все 499,000 ETH к 4 марта.
Расследование показало важность укрепления безопасности и повышения осведомлённости среди пользователей криптовалют. Safe и Bybit работают над устранением выявленных уязвимостей.
