Компанія Safe{Wallet} разом з експертами у сфері кібербезпеки з Mandiant оприлюднила попередні результати розслідування злому криптовалютної біржі Bybit, який стався 21 лютого. За словами розробників, за атакою стоїть хакерська група TraderTraitor, відома також як UNC4899, що має зв’язки з урядом КНДР і раніше здійснювала крадіжки криптовалют.
Про це розповідає Бізнес • Медіа
Злом був здійснений через компрометацію ноутбука одного з розробників Safe{Wallet}, який отримав умовне ім’я «Developer1». Зловмисники перехопили сесійні токени AWS, що дозволило їм обійти багатофакторну аутентифікацію (MFA). Цей співробітник мав розширені права доступу до інфраструктури компанії, що дало змогу зловмисникам проникнути в ключові системи.
Вжиті заходи для посилення безпеки
У відповідь на інцидент команда Safe{Wallet} провела повне перезавантаження інфраструктури, що включало ротацію облікових даних, оновлення серверів та посилення зовнішнього доступу. Спільно з Blockaid були посилені заходи для виявлення шкідливих транзакцій і впроваджено більш ретельне спостереження за мережею в реальному часі. Усі відкладені транзакції були видалені для запобігання подальшим атакам.
Команда також тимчасово відключила підтримку нативних апаратних гаманців, щоб мінімізувати ризики. Розробники надали користувачам інструмент для незалежної перевірки хешів транзакцій. Додатково було анонсовано плани щодо розміщення Safe{Wallet} на протоколі зв’язку IPFS, що дозволить користувачам взаємодіяти з сервісом безпосередньо, без прив’язки до централізованих серверів.
Заклик до співпраці у сфері кібербезпеки
Safe{Wallet} закликає всі Web3-платформи об’єднати зусилля для підвищення кібербезпеки. Компанія підкреслює, що перевірка кожної транзакції перед підписанням є останньою лінією захисту, і забезпечення простоти та прозорості цих процесів вимагає колективних рішень індустрії. Найближчим часом буде опубліковано керівництво з безпечної перевірки транзакцій для користувачів.
“Хакери повністю відмили вкрадені з Bybit майже 500 000 ETH за 10 днів.”