El desarrollador de SafeWallet ha publicado un informe post-mortem detallando el exploit de ciberseguridad que llevó al hackeo de 1.400 millones de dólares contra Bybit en febrero.
Según un análisis forense realizado por SafeWallet y la firma de ciberseguridad Mandiant, el grupo de hackers secuestró los tokens de sesión de Amazon Web Services (AWS) de un desarrollador de Safe para eludir las medidas de seguridad de autenticación multifactor implementadas por la firma.
La configuración de AWS de SafeWallet requería que los miembros del equipo reautenticaran sus tokens de sesión de AWS cada 12 horas, lo que llevó al grupo de hackers a intentar una brecha al registrar un dispositivo de autenticación multifactor (MFA).
Tras varios intentos fallidos de registrar un dispositivo MFA, los actores de la amenaza comprometieron el sistema MacOS de un desarrollador, probablemente a través de malware instalado en el sistema, y pudieron usar los tokens de sesión de AWS mientras las sesiones del desarrollador estaban activas.
Una vez que los hackers obtuvieron acceso, trabajaron dentro del entorno de Amazon Web Services para preparar el ataque.
Una línea de tiempo del exploit de seguridad del desarrollador de Safe. Fuente: Safe
El análisis forense de Mandiant también confirmó que los hackers eran actores estatales norcoreanos que tomaron 19 días para preparar y ejecutar el ataque.
La última actualización reiteró que el exploit de ciberseguridad no afectó los contratos inteligentes de Safe y añadió que el equipo de desarrollo de Safe implementó salvaguardas adicionales tras lo que fue el mayor hackeo en la historia de las criptomonedas.
El FBI emite una alerta mientras los hackers de Bybit lavan fondos
La Oficina Federal de Investigación de EE. UU. (FBI) publicó una alerta en línea solicitando a los operadores de nodos que bloqueen transacciones desde direcciones de monederos vinculadas a los hackers norcoreanos, que según el FBI serían lavados y convertidos a moneda fiat.
Advertencia del FBI sobre hackers norcoreanos detrás del hackeo de Bybit. Fuente: FBI
Desde entonces, los hackers de Bybit lavaron el 100% de las criptomonedas robadas, que comprenden cerca de 500.000 tokens relacionados con Ether, en solo 10 días.
El 4 de marzo, el CEO de Bybit, Ben Zhou, dijo que alrededor del 77% de los fondos, valorados en aproximadamente 1.070 millones de dólares, aún son rastreables on-chain, mientras que aproximadamente 280 millones de dólares han desaparecido.
Sin embargo, Deddy Lavid, CEO de la firma de ciberseguridad Cyvers, dijo que los equipos de ciberseguridad aún podrían rastrear y congelar algunos de los fondos robados.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión