Los primeros informes sobre cómo Bybit fue hackeado apuntan a una vulnerabilidad de terceros mientras que el exchange trata de encontrar las causas remotas e inmediatas de su brecha de seguridad. Aunque la investigación provisional ha absuelto de culpa a la bolsa, los expertos afirman que el hackeo puede mitigarse con barandillas herméticas.
La vulnerabilidad de Safe Wallet desencadenó el hackeo de Bybit
Mientras Bybit se tambalea tras su impactante pirateo de 1.500 millones de dólares, la empresa ha recurrido a Verichains y Sygnia Labs para investigar la brecha. Ben Zhou, CEO de la empresa, compartió en X los resultados del informe provisional de la investigación, en el que se señala a Safe Wallet como la fuente del ataque a Bybit.
Según el documento, la causa principal del ataque a Bybit fue un código malicioso en la infraestructura de la cartera. Los malhechores sustituyeron el archivo JavaScript original de app.safe.global por código comprometido para atacar la cartera fría Ethereum Multisig de Bybit.
Según las investigaciones preliminares, el ataque a la principal bolsa estaba programado para producirse durante la siguiente transacción de Bybit. Tanto los analistas de Verichains como los de Sygnia Labs dicen que las cuentas de Safe Global AWS S3 y CloudFront fueron objetivos probables de los hackers.
El informe cita Wayback Archives como prueba de un «archivo malicioso almacenado en caché» dadas las integraciones de Google Search del servicio. El comunicado oficial de Safe Wallet también confirma el origen de la brecha, apuntando a una máquina de desarrollador de Safe comprometida. Zhou expresó:
«Bybit se mantiene firme en su compromiso con la seguridad y la transparencia. (…) La revisión forense preliminar concluye que nuestro sistema no se vio comprometido».
¿Cómo Bybit recuperará los fondos y protegerá a los clientes?
En las horas posteriores a que Bybit fuera hackeado, la bolsa transfirió los fondos de su Safe Wallet para limitar su daño. La bolsa ha congelado fondos robados a los atacantes por valor de 42 millones de dólares en un esfuerzo conjunto de los actores del sector.
Zhou ha anunciado una caza de recompensas diseñada para sofocar la capacidad del grupo Lazarus de sacar provecho del ataque. Un hecho positivo confirma que la empresa ha adquirido el 100% de Ethereum perdido en el ataque a través de una serie de préstamos y acuerdos OTC de gigantes del sector como Galaxy Digital y Wintermute.