Чему научил взлом Bybit: как оставаться в безопасности на криптовалютных биржах

Атака Bybit использовала предсказуемое поведение и привычные процедуры одобрения транзакций, доказав, что кибербезопасность — это не только технологии, но и человеческая бдительность.

Атака обошла систему мультиподписной защиты Bybit путем внедрения вредоносного кода, что подчеркнуло важность независимой проверки транзакций.

Хакер быстро перевел средства, подчеркнув необходимость мгновенных оповещений, автоматизированных ответов и экстренных протоколов на случай нарушений.

Нарушение произошло через взломанный интерфейс стороннего кошелька, что доказывает, что биржи должны тщательно проверять и контролировать внешние инструменты.

Взлом Bybit потряс криптоландшафт, выявив уязвимости, выходящие за рамки технологий. Он показал, как хакеры используют уязвимости безопасности, человеческий фактор и предсказуемое поведение. В то время как большинство дискуссий сосредоточены на технических недостатках, настоящая история заключается в привычках, бдительности и понимании того, как думают и действуют злоумышленники.

В этой статье рассматриваются не только стандартные методы обеспечения безопасности, что пошло не так, почему даже «безопасные» системы дают сбои, и как криптовалютные биржи и обычные трейдеры могут применять более разумные методы обеспечения безопасности.

Если вы управляете биржей или просто пользуетесь ею, эти сведения могут помочь  защитить активы и не стать жертвой очередной атаки.

Взлом Bybit включал три элемента: фишинг и социальную инженерию, манипуляцию мультиподписным кошельком и сокрытие следа транзакций.

Взлом произошел в результате сложной атаки социальной инженерии, которая использовала уязвимость в интерфейсе кошелька Safe multisignature (multisig). Злоумышленник обманом заставил подписантов Bybit одобрить транзакцию, которая передала контроль над контрактом Safe multisig.

Взлом произошел путем внедрения вредоносного JavaScript в Safe UI, сокрытия деталей транзакций и внедрения функции бэкдора. Злоумышленник получил несанкционированный доступ и изменил код Safe UI, размещенный на AWS (веб-сервисы Amazon).

После того, как измененная транзакция была одобрена и подписана через аппаратные кошельки, вредоносный JavaScript восстановил исходные данные транзакции, скрыв манипуляцию. Чтобы еще больше избежать обнаружения, злоумышленник заменил скомпрометированный код Safe UI чистой версией на AWS. Несмотря на эти попытки стереть доказательства, следы вредоносного кода остались доступными через Wayback Machine.

На заметку: ZachXBT предоставил убедительные доказательства, приписывающие взлом Bybit Lazarus Group, северокорейской киберпреступной организации, впоследствии заявив о вознаграждении, предложенном Arkham Intelligence. Его подробный анализ включал тестовые транзакции, взаимосвязанное отслеживание кошельков, криминалистическую визуализацию графов и точные временные записи.

Взлом Bybit включал три элемента: фишинг и социальную инженерию, манипуляцию мультиподписным кошельком и сокрытие следа транзакций.

Взлом произошел в результате сложной атаки социальной инженерии, которая использовала уязвимость в интерфейсе кошелька Safe multisignature (multisig). Злоумышленник обманом заставил подписантов Bybit одобрить транзакцию, которая передала контроль над контрактом Safe multisig.

Взлом произошел путем внедрения вредоносного JavaScript в Safe UI, сокрытия деталей транзакций и внедрения функции бэкдора. Злоумышленник получил несанкционированный доступ и изменил код Safe UI, размещенный на AWS (веб-сервисы Amazon).

После того как измененная транзакция была одобрена и подписана через аппаратные кошельки, вредоносный JavaScript восстановил исходные данные транзакции, скрыв манипуляцию. Чтобы еще больше избежать обнаружения, злоумышленник заменил скомпрометированный код Safe UI чистой версией на AWS. Несмотря на эти попытки стереть доказательства, следы вредоносного кода остались доступными через Wayback Machine.

На заметку: ZachXBT предоставил убедительные доказательства, приписывающие взлом Bybit Lazarus Group, северокорейской киберпреступной организации, впоследствии заявив о вознаграждении, предложенном Arkham Intelligence. Его подробный анализ включал тестовые транзакции, взаимосвязанное отслеживание кошельков, криминалистическую визуализацию графов и точные временные записи.

Развертывание взлома Bybit бросило вызов давнему убеждению, что холодные кошельки являются самым безопасным способом хранения цифровых активов. Холодные кошельки с мультиподписью считаются более безопасными по сравнению с кошельками контролируемыми одним человеком. Однако в обновлении инцидента Bybit нарушение было обозначено как «Несанкционированная деятельность с участием холодного кошелька ETH», что неверно подразумевает, что виноват сам холодный кошелек.

Bybit использовал SafeWallet, веб-приложение, подключенное к Интернету. Настоящие холодные кошельки — это полностью офлайновые аппаратные устройства, что делает их неуязвимыми для киберугроз. В этом случае пользовательский интерфейс SafeWallet размещался на AWS S3 bucket с учетными данными, которые были раскрыты за несколько месяцев до этого. Этот скомпрометированный пользовательский интерфейс стал точкой входа для злоумышленников.

Холодные кошельки не предназначены для быстрых транзакций; они требуют моста между офлайн-хранилищем и интернетом. Хотя они могут варьироваться от бумажных кошельков до специализированного оборудования, их уязвимость безопасности заключается в самом процессе моста.

Вероятно, Bybit выбрал Safe из-за его удобства, позволяя руководителям удаленный доступ. Однако называть его фактическим холодным кошельком неверно — ему не хватало фундаментальной офлайн-безопасности, которая определяет холодное хранение.

Уроки, извлеченные из взлома Bybit

Взлом Bybit преподносит ряд важных уроков по защите средств на криптовалютных биржах, подчеркивая необходимость принятия надежных превентивных мер.

Опасность рутины в протоколах безопасности

Частые переводы из холодных кошельков в горячие для бизнес-операций могут создавать рискованные привычки безопасности. Когда такие транзакции становятся рутиной, у участников multisig может развиться ложное чувство безопасности, и они будут считать одобрения простыми формальностями, а не критически важными мерами безопасности. Подобная поведенческая ошибка сыграла ключевую роль во взломе Bybit.

Со временем руководители, занимающиеся крупными переводами средств, стали самодовольными. Хакер использовал предсказуемые закономерности в их поведении, используя социальную инженерию для обхода мер безопасности. Хотя технические уязвимости внесли свой вклад, реальной проблемой был человеческий фактор — подписчики одобряли транзакции без тщательной проверки.

Инцидент с Bybit подчеркивает необходимость более строгих протоколов одобрения multisig. Лидеры отрасли должны пересмотреть рабочие протоколы безопасности, чтобы гарантировать, что рутинные процессы не станут уязвимыми местами для эксплуатации.

Взлом хранилища AWS S3 из-за человеческого фактора

Нарушение безопасности корзины AWS S3 произошло в результате атаки с использованием социальной инженерии. Несмотря на надежную защиту системы, злоумышленник воспользовался уязвимостью человека, обманув разработчика SafeWallet и заставив его нажать на вредоносную ссылку или открыть зараженный вредоносным ПО файл. Злоумышленник успешно получил доступ, воспользовавшись доверием разработчика.

Криптобиржи должны уделять первостепенное внимание обучению сотрудников аспектам фишинга, поскольку это важный фактор кибербезопасности. Сотрудники, особенно те, кто имеет доступ к конфиденциальным средствам, должны проявлять повышенную бдительность в отношении подозрительных писем и запросов.

На заметку: После взлома системы безопасности генеральный директор Bybit Бен Чжоу сообщил, что почти все, а именно 99,994%, из более чем 350 000 запросов на вывод средств были успешно обработаны в течение 10 часов.

Управление криптовалютой Bybit опиралось на SafeWallet, сторонний интерфейс кошелька для передачи криптовалюты, что делает инцидент атакой на цепочку поставок. Инцидент подчеркивает важность проверки и постоянного мониторинга внешних инструментов или кода, взаимодействующих со средствами биржи.

Биржи должны внедрять надежные проверки целостности для обнаружения несанкционированных изменений кода и строго придерживаться принципа наименьших привилегий. Каждому руководителю должен быть предоставлен только ограниченный доступ в зависимости от его функций. Регулярные комплексные аудиты безопасности поставщиков и зависимостей программного обеспечения важны для смягчения таких уязвимостей.

Независимая проверка транзакций для обеспечения криптобезопасности

Руководители Bybit, обманутые, чтобы одобрить multisig, подчеркивают сбой в проверке фактических деталей транзакции. Пользовательский интерфейс отображал, что транзакция направляется на безопасный адрес, но это не так. Это подчеркивает необходимость независимой системы для проверки транзакций, независимо от того, что появляется на экране.

Устройства безопасной подписи, которые отображают фактический адрес назначения и сумму, могут предотвратить такой вид подмены пользовательского интерфейса. Пользователи будут знать реальный пункт назначения и стоимость транзакции, что защитит их от непредвиденных потерь.

Необходимость немедленного реагирования на нарушения криптобезопасности

С Bybit хакер быстро реализовал план. За несколько минут они перевели средства на десятки кошельков, а в течение пары часов активы были обменены и перемещены по цепочкам. К тому времени, как Bybit понял и отреагировал, исчезла огромная сумма.

Биржам необходим мониторинг в реальном времени и оповещения о подозрительной активности. Например, неожиданно большой перевод из холодного хранилища или изменения в критических смарт-контрактах должны немедленно вызывать беспокойство и остановлены для предотвращения дальнейшего ущерба. Эффективный план реагирования на чрезвычайные ситуации, например заморозка всех переводов при первых признаках нарушения, может ограничить масштаб ущерба.

Кроме того, включение подхода, основанного на рисках (RBA), необходимо для определения приоритетов реагирования на основе уровня риска различных видов деятельности и активов. Биржи могут использовать RBA для более эффективной оценки потенциальных угроз и внедрения различных уровней мер безопасности на основе объема транзакции, типа актива или прав доступа. Оповещения в реальном времени в сочетании с RBA гарантируют, что высокоприоритетные риски будут рассмотрены в первую очередь, что позволяет более гибко и динамично подходить к текущим проблемам безопасности.

На заметку: Независимая компания Hacken, занимающаяся безопасностью блокчейнов, опубликовала обновленный отчет о подтверждении резервов (PoR), подтверждающий, что Bybit успешно устранила несоответствие ETH в клиентских активах в течение 72 часов.

Защититесь от хакерских схем

Взлом Bybit следовал «обычной схеме» северокорейских хакеров. Использование социальной инженерии для входа и сложной схемы отмывания для выхода. Lazarus Group, архитектор взлома Bybit, известна тем, что использует похожие методы, среди которых фишинг сотрудников, установка вредоносного ПО, кража, цепочка переходов и использование миксеров для отмывания денег.

Для усиления защиты криптокомпаниям необходимо тщательно изучить предыдущие атаки. Если известно, что хакеры используют определенные методы, организациям следует проанализировать их и внедрить соответствующие контрмеры. Например, они могут обучить сотрудников быть особенно осторожными с любыми запросами, связанными с программным обеспечением кошелька.

Прозрачность и сотрудничество: ключ к эффективному контролю ущерба

Быстрое сотрудничество Bybit с аналитиками блокчейна и правоохранительными органами помогло заморозить часть средств и успокоить пользователей. Bybit немедленно объявила, что покроет убытки клиентов, и привлекла экспертов для отслеживания украденной криптовалюты.

В случае взлома прозрачность и сотрудничество могут значительно снизить последствия. Биржи должны сотрудничать с компаниями по анализу блокчейна, другими биржами и правоохранительными органами для заморозки украденных активов, пока хакеры пытаются обналичить их. Обмениваясь разведданными об адресах хакеров и схемах отмывания денег, криптосообщество повышает шансы на восстановление и затрудняет преступникам получение прибыли.

Как криптобиржи могут защитить себя от хакеров

Криптоиндустрии следует принять надежные меры безопасности:

• Многоуровневый подход к кибербезопасности: эффективная кибербезопасность основана на многоуровневом подходе, охватывающем различные ключевые меры и стратегии безопасности.
• Решения по безопасности конечных точек: начиная с решений по безопасности конечных точек, организации должны защищать устройства от вредоносных программ и несанкционированного доступа с помощью инструментов обнаружения и мониторинга угроз.
• Фильтрация сетевого трафика: межсетевые экраны выступают в качестве важных барьеров, фильтруя сетевой трафик на основе правил безопасности, в то время как сетевая безопасность защищает инфраструктуру посредством сегментации и обнаружения вторжений.
• Регулярные обновления программного обеспечения: регулярное обновление и установка исправлений программного обеспечения имеет важное значение для минимизации уязвимостей и дополнения надежного антивирусного программного обеспечения для защиты от вредоносных программ и программ-вымогателей.
• Контроль доступа: облачная безопасность обеспечивает защиту данных с помощью шифрования и контроля доступа, а сам контроль доступа ограничивает конфиденциальную информацию с помощью разрешений на основе ролей.
• Управление поверхностью атаки: Управление поверхностью атаки (ASM) проактивно выявляет и сокращает потенциальные точки входа, которые могут использовать хакеры. Это включает мониторинг сторонних интеграций, защиту API и обеспечение обновленных исправлений программного обеспечения.

Меры безопасности для индивидуальных пользователей, позволяющие сохранить средства в безопасности на криптовалютной бирже

Отдельные пользователи должны принимать активные меры для защиты своих средств. От усиления паролей до распознавания попыток фишинга, эти меры безопасности могут существенно помочь в защите их активов на криптобирже:

• Использование надежной защиты: Защитите учетные записи на бирже  с помощью уникального пароля и 2FA (двухфакторной аутентификации). Никогда не делитесь кодами 2FA или закрытыми ключами. Избегайте фишинга, проверяя URL-адреса перед входом в систему и игнорируя подозрительные ссылки в электронных письмах или текстовых сообщениях.
• Используйте холодное хранилище: храните большие активы в аппаратном кошельке или офлайн-хранилище. Держите только необходимые средства на биржах, чтобы минимизировать риски.
• Обновляйте программное обеспечение: регулярно обновляйте устройства, приложения и расширения браузера, чтобы устранить уязвимости безопасности. Используйте антивирусные инструменты и избегайте подозрительных сайтов, чтобы предотвратить вредоносное ПО.
• Мониторинг активности на счете: включите оповещения по электронной почте/тексту для входов и снятий. Просматривайте историю транзакций и используйте белый список снятий для дополнительной безопасности.
• Диверсифицируйте активы: распределяйте криптовалюту по нескольким платформам или кошелькам. Выбирайте биржи с хорошей репутацией для сокращения потенциальных потерь.
• Будьте в курсе: Следите за новостями криптовалют и обменивайтесь обновлениями о существующих угрозах. Следите за новостями, связанными с мошенничеством.

Переосмысление безопасности криптовалютной биржи после взлома Bybit

Как показал взлом Bybit, безопасность криптобирж — не только технологическая, но и человеческая проблема. Даже самые передовые меры безопасности может нарушить человеческий фактор. Поскольку киберпреступники разрабатывают все более изощренные тактики, организациям следует выйти за рамки технической защиты и принять комплексную стратегию безопасности.

Ключевые меры для криптобирж включают регулярное обучение сотрудников распознаванию попыток фишинга, постоянный мониторинг для обнаружения аномалий в режиме реального времени и упреждающий обмен информацией об угрозах в отрасли. Биржи и конечные пользователи должны сохранять бдительность и адаптироваться к возникающим угрозам кибербезопасности для лучшей защиты от этого постоянно меняющегося ландшафта.