Na última quinta-feira, a provedora de carteiras multi-assinatura Safe revelou que o roubo de US$ 1,4 bilhão em Ethereum ocorrido em fevereiro, no câmbio centralizado Bybit, teve origem em um laptop de desenvolvedor comprometido. A revelação ocorreu após uma série de investigações independentes, que apontaram para a injeção de código malicioso na infraestrutura da Safe. A empresa, junto aos especialistas em segurança da Mandiant, compartilhou mais detalhes sobre o caso e afirmou que a investigação atingiu um “marco crítico”.
Em uma publicação no X (anteriormente conhecido como Twitter), a Safe destacou que as descobertas tinham como objetivo promover a transparência e reforçar a importância de aprender com o incidente para fortalecer as defesas cibernéticas no setor. A empresa também destacou que, apesar das centenas de horas de análise realizadas até o momento, ainda há muito trabalho a ser feito.
A investigação revelou que o ponto inicial do ataque ocorreu no dia 4 de fevereiro, quando a estação de trabalho de um desenvolvedor de alto nível da Safe foi comprometida ao interagir com um projeto docker malicioso. A partir desse momento, os hackers, identificados como parte do grupo de cibercriminosos Lazarus, patrocinado pelo governo da Coreia do Norte, conseguiram contornar a autenticação multifatorial da conta da Safe na Amazon Web Services (AWS), aproveitando-se de tokens de sessão ativos para realizar o ataque.
Em um snapshot do Wayback Machine, foi identificado que, duas semanas após o comprometimento inicial, um código JavaScript malicioso foi inserido no site da Safe, o que levou ao ataque à Bybit no dia 21 de fevereiro.
Como resposta ao incidente, a Safe implementou novas medidas de segurança, incluindo uma redefinição completa da infraestrutura, melhorias na interface de usuário para facilitar a verificação de hashes de transações e a detecção aprimorada de transações maliciosas. Apesar disso, a investigação continua em andamento, e a Safe fez um apelo para que os usuários aprimorem sua capacidade de verificar as transações que assinam e aprovam, garantindo que estas possuam o resultado desejado.
A empresa ressaltou que, neste momento, o ato de assinar a transação é a última linha de defesa e só será eficaz se o usuário conseguir compreender completamente o que está assinando. Para auxiliar os usuários, a Safe publicou um guia detalhado sobre como verificar transações antes de assiná-las e afirmou que tomará mais medidas para tornar esse processo mais fluido e acessível no futuro próximo.
O roubo ocorrido na Bybit se tornou o maior ataque cibernético da história do setor de criptomoedas. A exchange está ativamente monitorando os fundos roubados e oferece recompensas de até US$ 140 milhões para aqueles que ajudarem a rastrear e congelar os valores.
