Bybit оприлюднив судово-медичний звіт, який пов’язує хакерство на 1,5 мільярда доларів США з компрометацією безпечного гаманця

Основні висновки:

Інцидент демонструє, як злочинці можуть експлуатувати, здавалося б, безпечну інфраструктуру гаманця третьої сторони для маніпуляцій з транзакціями великого обсягу.
Обережно інтегрований шкідливий код в надійне середовище дозволив перенаправити активи, викликавши занепокоєння щодо прихованих загроз у сфері управління цифровими активами.
Цей випадок підкреслює динамічний характер загроз, коли навіть надійні заходи безпеки можуть вимагати постійної переоцінки для протистояння новим методам.
Інцидент став стимулом для перегляду наявних протоколів і сприяв тіснішій співпраці між фахівцями з кібербезпеки для зменшення майбутніх ризиків.
Підвищений моніторинг, швидке проведення судово-медичних розслідувань та стратегічні оновлення безпеки є критично важливими для захисту від подібних порушень.

У середу, 26 лютого 2025 року, компанія Bybit представила судово-медичний звіт, який детально описує механізм порушення безпеки на суму 1,5 мільярда доларів, вперше підтверджений минулого тижня.

Атака була спрямована на холодний гаманець Bybit Ethereum з мультипідписом і була пов’язана з уразливістю в інфраструктурі Safe{Wallet}, згідно з висновками експертів з охоронної фірми Sygnia.

Звіт про криміналістику Bybit
Як і обіцяно, ось попередні звіти про злом, здійснені @sygnia_labs та @Verichains
Скріншот висновку, а ось посилання на повний звіт: https://t.co/3hcqkXLN5U pic.twitter.com/tlZK2B3jIW

— Бен Чжоу (@benbybit) 26 лютого 2025 р

Розслідування, розпочате негайно після виявлення несанкціонованих транзакцій 21 лютого 2025 року, показало, що зловмисний код JavaScript був впроваджений у сегмент AWS S3 Safe{Wallet}, змінюючи деталі транзакції під час підписування.

Зловмисник маніпулював транзакцією, переміщуючи кошти з холодного гаманця Bybit у теплий, а потім перенаправляючи їх на зовнішню адресу.

Зламаний холодний гаманець був вичерпаний, а кошти розподілено по кількох адресах, що значно ускладнило негайне відновлення.

Як відбувся злом Bybit

Криміналістичний аналіз підписуючих хостів Bybit продемонстрував, як здійснено порушення.

Слідчі виявили, що всі підписуючі хости кешували шкідливі ресурси JavaScript із Safe{Wallet}, який було змінено за два дні до атаки, 19 лютого 2025 року. Час свідчить про навмисність.

Шкідливий сценарій активувався лише тоді, коли транзакції надходили з конкретних контрактних адрес, включаючи багатопідписний контракт Bybit і іншу адресу, яка, ймовірно, належить зловмиснику.

Команда криміналістів проаналізувала інтернет-архіви ресурсів JavaScript Safe{Wallet} і виявила, що законна версія сценарію була замінена на скомпрометовану в той же день.

Через дві хвилини після спорожнення гаманця сегмент AWS S3 Safe{Wallet} було оновлено, щоб відновити оригінальний нешкідливий файл JavaScript.