Bybit ha publicado un informe preliminar sobre la investigación del ciberataque que resultó en la pérdida de 1.500 millones de dólares en criptomonedas, confirmando que el Lazarus Group, de Corea del Norte, está detrás del incidente. El hackeo a Bybit, considerado el mayor de la historia ocurrido en un solo día, tuvo lugar mientras la exchange transfería fondos de una billetera fría a una billetera caliente a través de la interfaz de Safe (Wallet).
Durante el proceso, un atacante logró intervenir y manipular la transacción.
Según la firma de ciberseguridad Sygnia, con sede en Tel Aviv, los hackers comprometieron a un desarrollador de Safe e insertaron un malware diseñado para afectar a los firmantes de Bybit. Este código malicioso alteró la transacción en el momento de la firma, redirigiendo los fondos a una billetera controlada por los atacantes.
La investigación preliminar sugiere que la infraestructura de Bybit no fue comprometida directamente. En su lugar, el ataque se originó en la infraestructura de Safe(Wallet), específicamente en un bucket de Amazon Web Services (AWS) S3 utilizado para almacenar y distribuir archivos estáticos.
Los hackers subieron el malware a AWS S3 y, cuando los firmantes de Bybit interactuaron con la interfaz comprometida, la transacción fue alterada.
De acuerdo con pcaversaccio, cofundador de SEAL 911, el Lazarus Group obtuvo acceso al entorno de Safe al comprometer las credenciales de un desarrollador.
«Esto les permitió acceder a AWS y al bucket S3. Se cargó y distribuyó un código JavaScript malicioso, modificando el contenido de la transacción en el momento de la firma», explicó.
El ataque fue altamente dirigido y solo se activó cuando se detectó una dirección de Bybit. Dos minutos después de ejecutar la transacción fraudulenta, los atacantes sustituyeron los archivos comprometidos por versiones legítimas para ocultar sus huellas.
El cofundador y ex CEO de Binance, Changpeng Zhao (CZ), cuestionó a Safe sobre cómo se permitió el ataque.
«¿Qué significa ‘compromiso de una máquina de desarrollador’? ¿Cómo se obtuvo ese acceso? ¿Fue ingeniería social, un virus? ¿Cómo un desarrollador tenía acceso a una cuenta operada por Bybit?», preguntó CZ.
Safe informó que ha reconstruido por completo su infraestructura y ha rotado todas las credenciales, eliminando así el vector de ataque. No obstante, la empresa reforzó la necesidad de extremar precauciones al firmar transacciones.
Bybit ha asegurado que sigue trabajando en la recuperación de los fondos. La exchange garantizó que los usuarios no se verán afectados, ya que ha obtenido un préstamo puente para cubrir el déficit. Además, ha lanzado programas de recompensas, ofreciendo el 10% del valor a quienes logren recuperar los fondos y un 5% a exchanges y plataformas de mezcla de criptomonedas que ayuden a congelarlos.
Investigadores de Ethereum estiman que Bybit ha logrado recuperar aproximadamente 100 millones de dólares hasta la fecha, incluyendo 43 millones de dólares en mETH.
La investigación sigue en curso para confirmar más detalles sobre el ataque y evaluar posibles riesgos para otros usuarios de Safe(Wallet).