Bybit revelou que o recente hack de US $ 1,4 bilhão não comprometeu sua infraestrutura e foi causado por uma vulnerabilidade em um Seguro Máquina de desenvolvedor.
De acordo com o inicial da troca Relatório Forenseo ataque foi executado através do balde do AWS S3 da Safe, permitindo que os maus atores manipulassem o front -end da carteira.
Enquanto isso, Safe disse em 26 de fevereiro separado relatório que Os hackers usaram uma máquina comprometida para enviar uma proposta de transação maliciosa disfarçada. Esta proposta injetou JavaScript prejudicial em recursos -chave, permitindo que os invasores manipulem transações.
A investigação forense conduzida pelas empresas de segurança de bybit e blockchain Sygnia e Verichains chegaram à mesma conclusão que a segurança.
Execução de ataque e descobertas forenses
O relatório seguro destacou que os atacantes projetaram o código injetado para modificar o conteúdo da transação durante o processo de assinatura, alterando efetivamente a execução pretendida.
Arquivos de história da web disponíveis publicamente e análises de registro de data e hora indicam que a injeção ocorreu diretamente no balde S3 – um Amazon Recurso de armazenamento público de serviços públicos da Web (AWS) que armazena dados para objetos em unidades distintas.
A análise maliciosa do código JavaScript revelou uma condição de ativação vinculada a endereços de contrato específicos, incluindo o endereço do contrato do Bybit e um endereço de contrato não identificado suspeito de ser controlado pelo ator de ameaças. Isso sugere que os hackers empregaram uma abordagem direcionada, em vez de um ataque generalizado.
Logo após a transação maliciosa ter sido executada e publicada, as versões atualizadas do Seguro enviadas dos Recursos JavaScript para sua infraestrutura da AWS. Essas versões removeram o código injetado, indicando um esforço para apagar traços do compromisso.
Apesar disso, os investigadores forenses identificaram o vetor de ataque e o vincularam às táticas mais amplas usadas pelo grupo hacker norte -coreano Lazarus. O grupo é supostamente patrocinado pelo Estado e notório por alavancar a engenharia social e explorações de dias zero para direcionar as credenciais dos desenvolvedores.
Um pequeno detalhe de segurança
Fundador da SlowMist Yu Xian disse Ainda não está claro como os hackers adulteraram o front -end. Ele acrescentou que, em teoria, qualquer pessoa que use os serviços de assinatura multi-assinatura poderia sofrer a mesma exploração.
De acordo com Xian:
“O que é aterrorizante é que todos os outros serviços interativos do usuário com front-end-ends, APIs etc. podem estar em risco. Este também é um ataque clássico da cadeia de suprimentos. O modelo de gerenciamento de segurança para ativos enormes/grandes precisa de uma grande atualização. ”
Além disso, ele avaliado que, se o front-end segura tivesse realizado a verificação básica da integridade do Sub-Redimento (SRI), o ataque não seria possível, mesmo que um ator malicioso modasse o arquivo JavaScript, que é um “pequeno detalhe de segurança”.
A verificação do SRI é um recurso de segurança que permite que os navegadores verifiquem se os recursos que eles buscam não são inesperadamente manipulados com base em um hash criptográfico que o recurso buscado deve corresponder.
Medidas de resposta segura e remediação
A Safe disse que iniciou uma investigação abrangente para avaliar a extensão do compromisso. A revisão forense não encontrou vulnerabilidades em seus contratos inteligentes, código-fonte front-end ou serviços de back-end.
O Safe reconstruiu e reconfigurou totalmente sua infraestrutura para mitigar riscos futuros enquanto gira todas as credenciais. A plataforma foi restaurada no Ethereum Mainnet com um lançamento em fases, incorporando medidas aprimoradas de segurança.
Enquanto o front-end segura permanece operacional, o relatório pediu aos usuários que tenham cuidado com maior cuidado ao assinar transações.
Além disso, a Safe disse que está comprometido em liderar uma iniciativa em todo o setor para aumentar a verificabilidade da transação. Essa iniciativa aborda um desafio em todo o ecossistema, enfatizando a segurança, a transparência e a auto-sustentação nos aplicativos Defi.
Lições do incidente
Apesar dos relatórios seguros e de Bybit concluírem que a troca não foi comprometida, Hasu, o líder da estratégia no Flashbots, acredita que eles ainda precisam ser responsabilizados.
Ele disse Esse bybit infra era insuficiente para capturar “um hack bem simples” e que não há desculpa para não verificar a integridade da mensagem ao mover mais de US $ 1 bilhão em fundos.
Hasu acrescentou:
“Receio que, se colocarmos a culpa em segurança, em vez de bybit aqui, estamos aprendendo inteiramente a lição errada disso como um espaço. Os frontends devem ser assumidos. Se o seu processo de assinatura não acomodar isso, você ainda está com falta. ”
Jameson Loppco-fundador e diretor de segurança em CasaAssim, apontou Essa “uma grande lição” do incidente de segurança segura é que nenhum desenvolvedor deve ter chaves de produção em suas máquinas. Ele recomendou que as implantações do código de produção passassem por revisão por pares e envolvam vários funcionários para melhorar a segurança.
Mudit Gupta, o diretor de segurança da informação em Laboratório de Polígonostambém criticou o fato de que apenas um desenvolvedor teve a autoridade do sistema para enviar alterações no site de produção da Safe e questionou por que as alterações nos objetos não foram monitoradas.