El CEO de Bybit, Ben Zhou, compartió una actualización en X el miércoles, detallando los nuevos hallazgos de una investigación dirigida por la firma israelí de ciberseguridad Sygnia sobre el reciente hackeo de 1.500 millones de dólares.
Según el análisis forense de Sygnia, el ataque no se debió a una violación de la propia infraestructura de Bybit. En cambio, los piratas informáticos, que se cree que pertenecen al Grupo Lazarus de Corea del Norte. explotó una vulnerabilidad en Safe (Wallet), un proveedor de infraestructura de criptomonedas utilizado por Bybit. Los investigadores descubrieron que los atacantes se infiltraron en la máquina de un desarrollador seguro, inyectando JavaScript malicioso en el sistema. Este código manipuló los detalles de la transacción durante el proceso de firma, lo que permitió que los fondos se redirigieran sin ser detectados.
1 צפייה בגלריה
Sygnia descubrió la operatoria tras el hackeo y posterior robo de 1.500 millones de dólares.
(CTech)
La violación se produjo cuando los firmantes multifirma de Bybit intentaron mover fondos. Los piratas informáticos interceptaron el proceso, explotando el almacenamiento basado en la nube de Safe (Wallet) en Amazon Web Services (AWS). Una vez que se ejecutó la transacción maliciosa, los atacantes borraron rápidamente los rastros de su código para cubrir sus huellas.
En respuesta, Safe ha reconfigurado su infraestructura y ha rotado todas las credenciales, aunque persisten las preocupaciones sobre si otros usuarios están en riesgo. Bybit ha asegurado fondos de emergencia para cubrir las pérdidas y ha lanzado un programa de recompensas para recuperar los activos robados. Hasta ahora, el exchange ha recuperado un estimado de 100 millones de dólares, mientras continúa la investigación.
