Расследование раскрыло тайну исчезновения рекордной суммы с биржи ByBit.
Совместное Safe{Wallet} и Mandiant крупнейшего в истории криптовалютного ограбления выявило новые подробности: была проведена северокорейской группировкой TraderTraitor. Хакеры воспользовались уязвимостью на ноутбуке одного из разработчиков и обошли системы защиты.
Хакеры скомпрометировали MacBook одного из разработчиков Safe{Wallet}, получив с него AWS-токены сессии, что позволило обойти многофакторную аутентификацию и получить доступ к инфраструктуре. Разработчик имел высокий уровень привилегий, необходимый для работы с кодом ByBit. Впоследствии злоумышленники удалили вредоносное ПО и очистили историю Bash, чтобы скрыть следы вторжения.
Заражение произошло 4 февраля 2025 года, когда через запущенный в Docker проект осуществлялось соединение с сайтом getstockprice.com. Хотя на момент анализа проект уже отсутствовал в системе, следы файлов в каталоге ~/Downloads/ указывают на использование методов социальной инженерии.
Хакеры также использовали сервис ExpressVPN для доступа к AWS-аккаунту разработчика. Киберпреступники подстроили свою активность под его рабочее расписание, используя украденные токены активных сессий.
Группировка пересекается с другой северокорейской группой APT38 (BlueNoroff, Stardust Chollima), которая, в свою очередь, является .
Несмотря на сложность атаки, умные контракты Safe остались незатронутыми. Однако компания провела полный системы, существенно усилив защитные механизмы. Среди принятых мер — полная перезагрузка инфраструктуры с ротацией всех учетных данных, закрытие внешнего доступа к сервисам, улучшенные системы обнаружения вредоносных транзакций и дополнительные инструменты проверки подписанных операций.
Кроме того, Safe{Wallet} временно отключил нативную поддержку аппаратных кошельков, поскольку их работа зависела от уязвимой функции eth_sign и сторонних сервисов. Для проверки транзакций пользователям предоставлен специальный инструмент. Также ведётся работа над возможностью использования Safe{Wallet} на платформе IPFS, что обеспечит дополнительный уровень безопасности.
Safe подчеркнула, что для повышения уровня безопасности необходимы улучшенные инструменты для выявления и предотвращения атак. По мнению специалистов, безопасность операций с криптовалютой должна быть упрощена за счёт улучшения пользовательского опыта, что поможет широкой аудитории минимизировать риски.
Подробнее:
Совместное Safe{Wallet} и Mandiant крупнейшего в истории криптовалютного ограбления выявило новые подробности: была проведена северокорейской группировкой TraderTraitor. Хакеры воспользовались уязвимостью на ноутбуке одного из разработчиков и обошли системы защиты.
Хакеры скомпрометировали MacBook одного из разработчиков Safe{Wallet}, получив с него AWS-токены сессии, что позволило обойти многофакторную аутентификацию и получить доступ к инфраструктуре. Разработчик имел высокий уровень привилегий, необходимый для работы с кодом ByBit. Впоследствии злоумышленники удалили вредоносное ПО и очистили историю Bash, чтобы скрыть следы вторжения.
Заражение произошло 4 февраля 2025 года, когда через запущенный в Docker проект осуществлялось соединение с сайтом getstockprice.com. Хотя на момент анализа проект уже отсутствовал в системе, следы файлов в каталоге ~/Downloads/ указывают на использование методов социальной инженерии.
Хакеры также использовали сервис ExpressVPN для доступа к AWS-аккаунту разработчика. Киберпреступники подстроили свою активность под его рабочее расписание, используя украденные токены активных сессий.
Группировка пересекается с другой северокорейской группой APT38 (BlueNoroff, Stardust Chollima), которая, в свою очередь, является .
Несмотря на сложность атаки, умные контракты Safe остались незатронутыми. Однако компания провела полный системы, существенно усилив защитные механизмы. Среди принятых мер — полная перезагрузка инфраструктуры с ротацией всех учетных данных, закрытие внешнего доступа к сервисам, улучшенные системы обнаружения вредоносных транзакций и дополнительные инструменты проверки подписанных операций.
Кроме того, Safe{Wallet} временно отключил нативную поддержку аппаратных кошельков, поскольку их работа зависела от уязвимой функции eth_sign и сторонних сервисов. Для проверки транзакций пользователям предоставлен специальный инструмент. Также ведётся работа над возможностью использования Safe{Wallet} на платформе IPFS, что обеспечит дополнительный уровень безопасности.
Safe подчеркнула, что для повышения уровня безопасности необходимы улучшенные инструменты для выявления и предотвращения атак. По мнению специалистов, безопасность операций с криптовалютой должна быть упрощена за счёт улучшения пользовательского опыта, что поможет широкой аудитории минимизировать риски.
Подробнее:
