O provedor de carteira multiassinatura Safe disse na quinta-feira (6) que o roubo de US$ 1,4 bilhão em Ethereum no mês passado da exchange centralizada Bybit, sediada em Dubai, teve origem em um laptop de um desenvolvedor comprometido.
Após vários relatórios independentes apontarem para uma injeção de código malicioso na infraestrutura da Safe, a empresa, juntamente com especialistas em segurança da Mandiant, divulgou mais detalhes, dizendo que a investigação havia atingido um “ponto de verificação crítico”.
“Apresentamos essas descobertas com espírito de transparência e para destacar as principais lições aprendidas, juntamente com apelos à ação para que a comunidade mais ampla aprenda com esse incidente e fortaleça as defesas”, postou no X. “Queremos enfatizar que, apesar de centenas de horas de análise já conduzidas, há mais trabalho a ser feito.”
As principais descobertas da investigação no caso Bybit destacaram que a estação de trabalho de um desenvolvedor de alto nível da Safe foi comprometida em 4 de fevereiro quando interagiu com um projeto docker (plataforma de código aberto) malicioso ou um aplicativo leve.
A partir daí, os hackers — que detetives on-chain e o FBI disseram ser do grupo Lazarus, patrocinado pelo Estado da Coreia do Norte — conseguiram contornar a autenticação multifator na conta da Amazon Web Services da Safe, “sequestrando” tokens de sessão ativos da AWS para fazer isso.
Uma captura de tela da Wayback Machine mostra que duas semanas após o comprometimento inicial, um JavaScript malicioso foi inserido no site Safe, levando à exploração do Bybit em 21 de fevereiro.
Leia Também
Hack da Bybit é o maior da história
Desde a exploração, a Safe implementou medidas de segurança mais rigorosas, incluindo uma redefinição completa da infraestrutura, interface de usuário aprimorada para verificação de hashes de transações e detecção aprimorada de transações maliciosas.
No entanto, a investigação ainda está em andamento, e o apelo final da Safe é que os usuários devem poder verificar melhor se as transações que assinam e aprovam têm, em última análise, o resultado pretendido.
“O ato de assinar a transação em si atualmente é a última linha de defesa, e só pode ser eficaz se o usuário puder entender o que está assinando”, disse a empresa. “Para dar suporte aos usuários na proteção de suas transações, a Safe publicou um guia abrangente sobre como verificar transações antes de assinar e tomará medidas adicionais para tornar esse processo uma parte sem atrito do uso da Safe no curto prazo.”
O hack de criptomoedas da Bybit foi o maior de todos os tempos. A exchange está monitorando ativamente os fundos roubados, oferecendo até US$ 140 milhões em recompensas para aqueles que ajudarem a rastreá-los e congelá-los.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
