El exchange de criptomonedas Bybit fue previamente pirateado y robó aproximadamente 1.400 millones de dólares en Ethereum. El Ethereum robado estaba ubicado en la billetera del almacén de Bybit, que utilizaba la plataforma de billetera multifirma SafeWallet. Después del robo, muchos investigadores en el campo de las criptomonedas no pudieron entender cómo el hacker logró el ataque. Después de todo, es poco probable que el hacker también controlara el administrador de billetera de Bybit para firmar.

Sin embargo, los resultados de la última investigación muestran que el ataque no tiene nada que ver con Bybit. El problema de seguridad ocurrió en la billetera SafeWallet.De hecho, el grupo de hackers norcoreano Lazarus Group ya ha logrado la intrusión, pero sólo está esperando oportunidades para atacar únicamente objetivos de alto valor..

Los investigadores afirman que este ataque apunta específicamente a Bybit, un objetivo de alto valor. Los piratas informáticos inyectan scripts JavaScript maliciosos en app.safe.global, al que pueden acceder los firmantes de Bybit. Los scripts maliciosos eficaces sólo se activan cuando se cumplen determinadas condiciones. Esta ejecución selectiva garantiza que los usuarios normales no descubran la puerta trasera.

Con base en los hallazgos de la máquina del firmante de Bybit y retrocediendo a través del sitio web Time Machine (WaybackArchive) de Internet Archive, los investigadores encontraron scripts JavaScript maliciosos almacenados en caché y llegaron a una sólida conclusión: la cuenta o API de Safe.Global en Amazon AWS S3 o AWS Cloud Front pueden haber sido filtradas o robadas.

En este caso, los piratas informáticos pueden utilizar cuentas o API para modificar S3 o CloudFront (servicio CDN proporcionado por AWS) para agregar scripts maliciosos. Los investigadores también descubrieron un código malicioso de billetera fría de múltiples firmas de Ethereum dirigido a Bybit desde el depósito AWSS3 de SafeWallet.

SafeWallet emitió un comunicado afirmando que una investigación forense sobre el ataque lanzado por LazarusGroup contra Bybit concluyó que el ataque se implementó a través de una máquina de desarrollador de SafeWallet comprometida (En otras palabras, después de que la máquina del desarrollador de SafeWallet fuera infectada con código malicioso, el hacker agregó scripts JavaScript maliciosos a través de la cuenta del desarrollador con permisos.).

La plataforma de billetera ahora ha reconstruido y reconfigurado completamente toda la infraestructura, al tiempo que rota todas las credenciales, incluidas las claves API, etc., para garantizar que el vector de ataque se haya eliminado y no pueda usarse en futuros ataques.

Además, los investigadores no han encontrado vulnerabilidades en los contratos inteligentes de SafeWallet ni en el código fuente de su interfaz y servicios. Sólo pueden decir que, de hecho, es un plan perfecto para que los piratas informáticos lancen ataques contra los desarrolladores de SafeWallet con antelación.