Нещодавно компанія Bybit підтвердила інформацію про злом, що призвів до втрати активів на суму $1,46 млрд. Ця інцидент відбувся внаслідок компрометації облікових даних розробника гаманця Safe.
Про це розповідає Finway
На думку експертів з фірм Sygnia та Verichains, атаку здійснила північнокорейська хакерська група Lazarus. Вона використала уразливість у хмарній інфраструктурі AWS, щоб отримати несанкціонований доступ до ресурсів Safe (Wallet).
Аналіз ситуації
Згідно з даними Sygnia, зловмисники впровадили шкідливий JavaScript-код у ресурси Safe, які зберігались у хмарі AWS S3. Цей код активувався під час взаємодії з контрактними адресами Bybit і невідомим гаманцем, що свідчить про ретельно сплановану операцію. Зловмисники діяли швидко: одразу після отримання контролю над активами вони видалили модифіковані файли, замінивши їх на вихідні версії, намагаючись приховати сліди злому.
Завдяки розслідуванню, слідчі виявили збережені дані на пристроях підписантів, які вказали на зміни, внесені 19 лютого 2025 року. Аналіз цієї інформації показав, що зловмисники змогли підмінити адресу одержувача під час затвердження транзакції.
Відновлення та реакція Bybit
Команда Safe (Wallet) підтвердила висновки експертів і запевнила, що вжила заходів для усунення вектора атаки, зокрема повністю змінила конфігурацію інфраструктури, перезібрала ключові компоненти та змінила всі облікові дані. Вони відзначили, що інфраструктура самої біржі не піддавалася злому.
Крім того, Bybit завершила новий раунд аудиту резервів (PoR), проведений компанією з кібербезпеки Hacken. Згідно з документом, платформа змогла відновити рівень резервів цифрових активів до співвідношення 1:1 протягом 72 годин після зламу, що стався 21 лютого. Нагадаємо, раніше 21Shares охарактеризував злом Bybit як найбільший в історії інтернету.