Ha surgido nueva información sobre el hackeo de 1.460 millones de dólares a la bolsa de criptomonedas Bybit hace unos días.
Según las conclusiones de una auditoría forense compartida por Bybit, el pirateo no fue culpa de la bolsa, sino de los servidores de SAFE.
Según una publicación anterior del director ejecutivo de Bybit, Ben Zhou, las empresas de seguridad de blockchain Sygnia Labs y Verichains llevaron a cabo el examen forense.
Compromiso del servidor SAFE
Habeeb, socio director de Dragonfly, señaló que los estafadores “intercambiaron en caliente la interfaz de usuario de Gnosis SAFE con código JS que SOLO se dirigía a la cartera fría de Bybit”.
Del mismo modo, SAFE emitió un comunicado en el que admitía que la causa del pirateo fue una máquina de desarrollo de monederos comprometida.
Se cree que esta maniobra, que dio lugar a una propuesta de transacción maliciosa encubierta, es obra del Grupo Lazarus.
Además, SAFE afirmó que la revisión forense realizada por investigadores de seguridad externos no descubrió ninguna vulnerabilidad en sus contratos inteligentes.
El código fuente del front-end y de los servicios tampoco contenía lagunas. A pesar de estas garantías, muchos miembros de la comunidad no están satisfechos con la actualización de SAFE.
El fundador de Binance, Changpeng Zhao, compartió sus comentarios, señalando que la explicación sobre la “máquina desarrolladora” no es suficiente.
Bybit supera la peor caída
Cuando la bolsa de criptomonedas con sede en Singapur sufrió un pirateo el 21 de febrero, los malhechores se llevaron 1.400 millones de dólares en Ethereum (ETH).
Los atacantes supuestamente engañaron a los firmantes de estos monederos fríos multifirma para que aprobaran una transacción maliciosa.
Por el lado bueno, muchas instituciones del sector de las criptomonedas ofrecieron liquidez para apoyar las retiradas de los clientes de ByBit.
Poco después del hackeo, la bolsa de criptomonedas pudo cerrar la brecha del déficit.
Lo consiguió mediante préstamos, depósitos de ballenas y compras directas de ETH. Los fondos ascendieron a 446.870 ETH, por un valor aproximado de 1.230 millones de dólares.
No mucho antes, Bybit publicó un informe auditado de Prueba de Reservas (POR) que demostraba el respaldo 1:1 de los activos de los clientes mediante la verificación del árbol de Merkle.
Aunque SAFE se ha revelado como el canal a través del cual el estafador golpeó a Bybit, la tercera parte dijo que su parte delantera sigue operativa.
También declaró que se habían puesto en marcha medidas de seguridad adicionales para prevenir futuros sucesos.
Los expertos en seguridad aconsejan a los usuarios que sean precavidos y estén atentos cuando firmen transacciones.
La guerra contra el Grupo Lázaro y las medidas preventivas
Mientras tanto, el grupo de hackers norcoreano patrocinado por el Estado, Lazarus Group, es famoso por perpetrar sofisticados ataques de ingeniería social contra las credenciales de los desarrolladores.
Otras veces, buscan exploits de día cero. Por desgracia, Bybit es una de sus víctimas recientes.
Se alega que la criptobolsa eXch participó en el blanqueo del botín.
Precisamente, eXch fue acusado de blanquear más de 30 millones de dólares procedentes de monederos vinculados al Grupo Lazarus de Corea del Norte.
Sin embargo, la plataforma emitió un comunicado oficial en el que negaba su implicación en el incidente hasta ese punto.
En cambio, afirma que eXch procesó sólo una pequeña cantidad de los fondos robados a través de una única dirección Ethereum.
Mientras tanto, Bybit ha puesto en marcha un plan de recuperación de 140 millones de dólares para compensar a las entidades afectadas.
Además, declaró la guerra al Grupo Lazarus, desvelando una importante recompensa para quien pueda ayudar a romper su dominio del pirateo informático.
El equipo de SAFE ha investigado a fondo y ha restaurado SAFE en la red principal de Ethereum con un despliegue por fases.
Para eliminar los vectores de ataque de los malos actores, el equipo SAFE ha reconstruido y reconfigurado completamente toda la infraestructura y ha rotado todas las credenciales.
El resultado final de esta investigación aún está pendiente, pero SAFE tiene previsto publicar un informe post-mortem en cuanto esté disponible.
