Компания Safe{Wallet} опубликовала заявление о целенаправленной атаке на Bybit. В отчёте о расследовании у бывшего генерального директора Binance Чанпэна Чжао осталось больше вопросов, чем ответов, и он подверг его жёсткой критике, заявив, что отчёт был составлен расплывчато, чтобы обойти проблемы.
Согласно отчёту Safe о расследовании, криминалистическая экспертиза целенаправленной атаки Lazarus Group на Bybit показала, что эта атака была направлена на Bybit Safe и была совершена с помощью скомпрометированного компьютера разработчика Safe. В результате взлома была предложена замаскированная вредоносная транзакция, в ходе которой хакеры вывели средства из кошелька Bybit.
Согласно отчёту, криминалистическая экспертиза, проведённая внешними специалистами по безопасности, не выявила никаких недостатков в смарт-контрактах Safe или исходном коде интерфейса и сервисов.
В отчёте также указано, что команда Safe провела тщательное расследование и теперь восстановила работу Safe в основной сети Ethereum с поэтапным развёртыванием. Команда Safe полностью восстановила и перенастроила всю инфраструктуру, а также сменила все учётные данные, чтобы полностью устранить вектор атаки.
Безопасный интерфейс по-прежнему работает с дополнительными мерами безопасности. Однако в отчёте пользователям рекомендуется соблюдать крайнюю осторожность и сохранять бдительность при подписании транзакций.
CZ критикует отчет судебно-медицинской экспертизы Safe за недостаточную детализацию
Отчет вызвал резкую реакцию со стороны основателя и бывшего генерального директора Binance CZ. По словам CZ, отчет недостаточно подробен, чтобы учесть все опасения, и содержит зияющие пробелы относительно того, как произошло это событие. CZ сначала задался вопросом, что означает "компрометация безопасной машины разработчика”. Он также задался вопросом, как хакеры скомпрометировали эту машину, и поинтересовался, была ли это социальная инженерия, вирус или что-то еще.
CZ также выразил обеспокоенность по поводу того, как компьютер разработчика получил доступ к учетной записи exchange. Он спросил, был ли какой-то код удаленно развернут с компьютера разработчика прямо в продукт. ЧЗ также выразил обеспокоенность по поводу того, как хакеры обошли этап проверки бухгалтерской книги у нескольких подписантов. Он поинтересовался, не смогли ли подписанты пройти проверку должным образом или они подписали вслепую.
Bybit также приступила к глубокому судебно-медицинскому расследованию, заключив контракт с компаниями по обеспечению безопасности блокчейна Sygnia и Verichains. Цель расследований была сосредоточена вокруг хостингов трех подписчиков в качестве продолжения взлома на сумму 1,4 миллиарда долларов.
CZ также задался вопросом, был ли адрес на 1,4 миллиарда долларов самым крупным адресом, управляемым с помощью Safe, и почему хакеры не атаковали другие кошельки. CZ также спросил, какие уроки могут извлечь из этого инцидента другие провайдеры и пользователи кошельков с «самостоятельным хранением и несколькими подписями».
Расследование, проведённое Sygnia, показало, что причиной инцидента стал вредоносный код, исходящий из инфраструктуры Safe. В отчёте сделан вывод, что инфраструктура Bybit не пострадала и не была скомпрометирована во время атаки. В отчёте подчёркивается, что расследование будет продолжено для подтверждения недавних выводов.
Предварительные выводы Verichains показали, что 19 февраля безобидный файл JavaScript app.safe.global был заменён вредоносным кодом, направленным на повреждение холодного кошелька Ethereum Multisig от Bybit. Специалисты Verichains также рекомендовали провести дополнительные расследования для подтверждения первопричины.
Сообщается, что Lazarus Group отмывает средства Bybit с помощью meme coins
На прошлой неделе биржа Bybit, базирующаяся в ОАЭ, стала жертвой хакеров, что привело к потере 1,5 миллиарда долларов. Генеральный директор биржи заявил, что средства были сняты с одного из холодных мультисиг-кошельков Bybit.
Согласно данным блокчейна, северокорейский хакерский коллектив Lazarus Group, предположительно стоящий за атакой, использовал мем-монеты для отмывания украденных средств. Исследователь кибербезопасности ZachXBT сообщил, что Lazarus Group распространила несколько мем-монет на Pump.fun.
Binance также подверглась атакам злоумышленников. Недавно криптопредприниматель из Гонконга Джо Чжоу сообщил, что мошенники отправили ему сообщение на обычный номер Binance, на который он обычно получает коды подтверждения, сообщив, что к его аккаунту получили доступ из Северной Кореи.
Джо Чжоу позвонил злоумышленникам, которые обманом заставили его отправить средства на другой кошелёк. Чжоу удалось быстро среагировать и вернуть большую часть своих средств до того, как хакеры обналичили их.
" 
