Bybit reveló que el reciente truco de $ 1.4 mil millones no ha comprometido su infraestructura y fue causada por una vulnerabilidad en una máquina de desarrolladores seguro.
Según el primero Informe médico-legalEl ataque se ejecutó a través del cubo Safe AWS S3, permitiendo que los malos jugadores manejen la parte delantera de la billetera.
Mientras tanto, Safe dijo en un separado el 26 de febrero informe eso Los piratas utilizaron una máquina comprometida para presentar una propuesta de transacción maliciosa disfrazada. Esta propuesta inyectó JavaScript dañino a los recursos clave, permitiendo a los atacantes manejar las transacciones.
La encuesta médica legal realizada por las compañías de seguridad de BYBIT y Blockchain Sygnia y Verhains alcanzó la misma conclusión que segura.
Ejecución de ataque y resultados médicos-legales
El informe seguro enfatizó que los atacantes diseñaron el código inyectado para modificar el contenido de las transacciones durante el proceso de firma, modificando efectivamente la ejecución planificada.
Los archivos del historial web accesibles para el público y el análisis de horoditing indican que la inyección ocurrió directamente en el cubo S3 – Un recurso de almacenamiento de la nube pública (AWS) Amazon Services (AWS) que almacena datos para objetos en unidades separadas.
El análisis del Código JavaScript malicioso reveló una condición de activación vinculada a direcciones contractuales específicas, incluida la dirección del contrato BYBIT y una dirección del contrato no identificada sospechada de ser controlada por el actor de amenazas. Esto sugiere que los piratas informáticos han utilizado un enfoque dirigido en lugar de un ataque generalizado.
Poco después de la ejecución y publicación de la transacción maliciosa, las versiones se actualizaron con total seguridad de los recursos de JavaScript en su infraestructura de AWS. Estas versiones han eliminado el código inyectado, lo que indica un esfuerzo para borrar las huellas del compromiso.
A pesar de esto, los investigadores médicos legales identificaron el vector de ataque y lo vincularon con las tácticas más amplias utilizadas por el grupo pirata de Corea del Norte Lázaro. El grupo sería patrocinado por el Estado y se sabe que aprovecha la ingeniería social y cero días para apuntar a las referencias de los desarrolladores.
Un pequeño detalle de seguridad
El fundador de SlowMist Yu Xian dicho Todavía no sabemos cómo los piratas informáticos falsificaron el frente. Agregó que, en teoría, cualquiera que use los servicios de múltiples maletas de Safe podría sufrir la misma hazaña.
Según Xian:
“Lo que es aterrador es que todos los demás servicios de usuario interactivo con frontal, API, etc. puede estar en riesgo. También es un ataque clásico de la cadena de suministro. El modelo de gestión de seguridad para activos enormes / grandes requiere una actualización importante. »»
Además, él evaluado que si el frontal seguro hubiera llevado a cabo una verificación básica de la integridad de los subdressuursores (SRI), el ataque no habría sido posible incluso si un actor malicioso modificara el archivo JavaScript, que es un “pequeño detalle de seguridad”.
La verificación SRI es una característica de seguridad que permite a los navegadores verificar que los recursos que recuperan no se manipulan inesperadamente sobre la base de un hash criptográfico que el recurso recuperado debe corresponder.
Respuesta segura y medidas de saneamiento
Safe dijo que había lanzado una investigación completa para evaluar el alcance del compromiso. El examen médico-legal no ha encontrado vulnerabilidad en sus contratos inteligentes, su código fuente frontal o sus servicios de back-end.
Safe ha reconstruido y reconfigurado completamente su infraestructura para mitigar los riesgos futuros mientras gira toda la información de identificación. La plataforma se restauró en el Ethereum Mainnet con una implementación progresiva, incorporando mejores medidas de seguridad.
Si bien el front-end seguro sigue siendo operativo, el informe instó a los usuarios a aumentar la mayor precaución al firmar las transacciones.
Además, Safe dijo que estaba decidido a dirigir una iniciativa en toda la industria para aumentar la verificación de las transacciones. Esta iniciativa asume un desafío en la escala del ecosistema, enfatizando la seguridad, la transparencia y el autocuidado en las aplicaciones Defi.
Lecciones de incidentes
A pesar de los informes de Safe y Bybit, concluyendo que el intercambio no se ha visto comprometido, HASU, el jefe de la estrategia en Flashbots, cree que aún deben ser responsables.
Él dicho Esta infra Bybit era insuficiente para atrapar “una piratería bastante simple” y que no hay excusa para no verificar la integridad de los mensajes cuando movió más de mil millones de dólares en fondos.
Hasu agregó:
“Me temo que si culpamos de manera segura en lugar de Bybt aquí, aprendemos completamente la mala lección de esto como un espacio. Las frondas deben ser _always_ se supone que se comprometen. Si su proceso de firma no se adapta a esto, en última instancia, tiene la culpa. »»
Jameson Lopp, cofundador y director de seguridad en Casa, anotado Esta “lección importante” del incidente de seguridad seguro es que ningún desarrollador debe tener claves de producción en sus máquinas. Recomendó que las implementaciones del código de producción se sometan a un examen entre pares e involucren a varios empleados para mejorar la seguridad.
Mudit Gupta, director de seguridad de la información de Polygon Labs, también criticó el hecho de que solo un desarrollador tenía el poder del sistema para enviar cambios al sitio web de producción segura y preguntó por qué no se monitorearon los cambios en los objetos.
Mencionado en este artículo
