27 февраля 2025 ForkLog
Атаку на Bybit реализовали через инфраструктуру кошелька Safe (Wallet), а не через системы самой торговой платформы. Об этом говорится в предварительном отчете об инциденте.
Согласно расследованию аналитиков компании Sygnia, злоумышленник внедрил вредоносный jаvascript-код в ресурсы Safe (Wallet), хранящиеся в облаке AWS S3.
Скрипт преступников активировался только при транзакциях, связанных с контрактными адресами Bybit и неизвестным тестовым адресом, что указывает на целенаправленный характер атаки.
Фрагмент вредоносного кода. Данные: отчет Sygnia.
Через две минуты после кражи активов хакер заменил модифицированные файлы на исходные версии для сокрытия следов.
На устройствах трех участников подписания поддельной транзакции обнаружили кэшированные файлы с изменениями, внесенными 19 февраля. Код манипулировал данными в момент утверждения, подменяя адрес получателя.
Вредоносные файлы в кэше браузера Chrome у подписантов. Данные: отчет Sygnia.
Веб-архивы вроде WaybackMachine также зафиксировали внесение изменений в код инфраструктуры Safe (Wallet).
Фрагмент вредоносного кода, попавший на снапшот WaybackMachine от 19 февраля. Данные: отчет Sygnia.
«Результаты криминалистического расследования хостов трех подписантов свидетельствуют о том, что коренной причиной атаки является вредоносный код, происходящий из инфраструктуры Safe (Wallet). В инфраструктуре Bybit не выявлено признаков компрометации. Расследование продолжается для окончательного подтверждения полученных данных», — говорится в заключении.
Bybit Hack Forensics Report
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U
— Ben Zhou (@benbybit) February 26, 2025
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U
— Ben Zhou (@benbybit) February 26, 2025
Согласно расследованию аналитиков компании Sygnia, злоумышленник внедрил вредоносный jаvascript-код в ресурсы Safe (Wallet), хранящиеся в облаке AWS S3.
Скрипт преступников активировался только при транзакциях, связанных с контрактными адресами Bybit и неизвестным тестовым адресом, что указывает на целенаправленный характер атаки.
Фрагмент вредоносного кода. Данные: отчет Sygnia.
Через две минуты после кражи активов хакер заменил модифицированные файлы на исходные версии для сокрытия следов.
На устройствах трех участников подписания поддельной транзакции обнаружили кэшированные файлы с изменениями, внесенными 19 февраля. Код манипулировал данными в момент утверждения, подменяя адрес получателя.
Вредоносные файлы в кэше браузера Chrome у подписантов. Данные: отчет Sygnia.
Веб-архивы вроде WaybackMachine также зафиксировали внесение изменений в код инфраструктуры Safe (Wallet).
Фрагмент вредоносного кода, попавший на снапшот WaybackMachine от 19 февраля. Данные: отчет Sygnia.
«Результаты криминалистического расследования хостов трех подписантов свидетельствуют о том, что коренной причиной атаки является вредоносный код, происходящий из инфраструктуры Safe (Wallet). В инфраструктуре Bybit не выявлено признаков компрометации. Расследование продолжается для окончательного подтверждения полученных данных», — говорится в заключении.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба