Взлом Bybit: Уязвимость в Safe Wallet оказалась ключевым фактором инцидента

Атака на платформу Bybit была осуществлена с использованием инфраструктуры кошелька Safe (Wallet), а не через саму торговую систему. Об этом сообщается в предварительном отчете о происшествии.

В ходе расследования, проведенного аналитиками компании Sygnia, установлено, что преступник внедрил вредоносный JavaScript-код в облачные ресурсы Safe (Wallet), размещенные на AWS S3.

Этот скрипт активировался лишь при выполнении транзакций, касающихся контрактных адресов Bybit и неустановленного тестового адреса, что свидетельствует о целенаправленном характере атаки.

Спустя две минуты после кражи средств хакер заменил измененные файлы на оригинальные, чтобы замаскировать свои действия.

На устройствах трех участников, подписавших поддельную транзакцию, обнаружили кэшированные файлы с внесенными изменениями от 19 февраля. Код фальсифицировал данные в момент утверждения, подменяя адрес получателя.

Кроме того, веб-архивы, такие как Wayback Machine, подтвердили изменения в коде инфраструктуры Safe (Wallet).

«Результаты криминалистического анализа на устройствах трех подписантов указывают на то, что основным источником атаки является вредоносный код, исходящий из инфраструктуры Safe (Wallet). В системе Bybit не обнаружены следы компрометации. Расследование продолжается для окончательной проверки собранных данных», — отмечается в отчете.

Ранее шифропанк Адам Бэк назвал «недостаточный дизайн EVM» одной из причин инцидента.

Напоминаем, что к 26 февраля злоумышленники успели отмыть 135 000 ETH (примерно $335 миллионов). Ответственность за атаку возложили на северокорейскую хакерскую группу Lazarus.