Атаку на Bybit реализовали через инфраструктуру кошелька Safe (Wallet), а не через системы самой торговой платформы. Об этом говорится в предварительном отчете об инциденте.
Bybit Hack Forensics Report
— Ben Zhou (@benbybit) February 26, 2025
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U pic.twitter.com/tlZK2B3jIW
Согласно расследованию аналитиков компании Sygnia, злоумышленник внедрил вредоносный JavaScript-код в ресурсы Safe (Wallet), хранящиеся в облаке AWS S3.
Скрипт преступников активировался только при транзакциях, связанных с контрактными адресами Bybit и неизвестным тестовым адресом, что указывает на целенаправленный характер атаки.
Через две минуты после кражи активов хакер заменил модифицированные файлы на исходные версии для сокрытия следов.
На устройствах трех участников подписания поддельной транзакции обнаружили кэшированные файлы с изменениями, внесенными 19 февраля. Код манипулировал данными в момент утверждения, подменяя адрес получателя.
Веб-архивы вроде WaybackMachine также зафиксировали внесение изменений в код инфраструктуры Safe (Wallet).
«Результаты криминалистического расследования хостов трех подписантов свидетельствуют о том, что коренной причиной атаки является вредоносный код, происходящий из инфраструктуры Safe (Wallet). В инфраструктуре Bybit не выявлено признаков компрометации. Расследование продолжается для окончательного подтверждения полученных данных», — говорится в заключении.
Ранее шифропанк Адам Бэк назвал «неправильный дизайн EVM» причиной инцидента.
Напомним, к 26 февраля хакеры отмыли 135 000 ETH (~$335 млн). Отвественность за атаку возложили на северокорейскую группировку Lazarus.