SafeWallet משחרר דוח נתיחה לאחר המוות של פרצת Bybit

פרטי הפריצה והאנליזה הפורנזית

הדו"ח, שהוכן במשותף על ידי SafeWallet וחברת הסייבר Mandiant, מצביע על כך שקבוצת ההאקרים הצליחה להשיג שליטה על מפתחות גישה לשירותי הענן של אמזון (AWS) של מפתח ב-SafeWallet. זאת במטרה לעקוף את אמצעי האימות הרב-שלבי שהותקנו על מנת להבטיח את המערכת.

ההגדרות של AWS דרשו מחברי הצוות לאמת מחדש את אסימוני הגישה שלהם כל 12 שעות. ההאקרים נאלצו לחדור למערכת לאחר מספר ניסיונות כושלים לרישום התקן לאימות הרב-שלבי. לאחר שכשלו, הצליחו לחדור למערכת ההפעלה של מפתח ב-SafeWallet, ככל הנראה באמצעות תוכנה זדונית שהותקנה על המכשיר, ובכך להשיג גישה לאסימוני הענן בזמן שאלו היו פעילים.

החדירה והכנות ההתקפה

עם גישה למערכת, פעלו ההאקרים בתוך סביבת ה-AWS והקימו את המתקפה. לפי Mandiant, זה לקח להאקרים 19 ימים להיערך ולבצע את ההתקפה. Mandiant מאשרת כי מדובר בשחקנים ממדינת צפון קוריאה, וכי מאמציהם לא פגעו בחוזים החכמים של החברה.

אמצעי אבטחה נוספים שהותקנו

הדו"ח מדגיש כי בעקבות הפריצה נוספתו אמצעי אבטחה נוספים על ידי צוות הפיתוח של SafeWallet. מדובר באחת מהפריצות הגדולות בהיסטוריית המטבעות הדיגיטליים, וצוות הפיתוח פעל להוספת אמצעי הגנה מעבר למה שהיה קיים לפני כן.

תגובה של ה-FBI לפעולות ההאקרים

בעקבות המתקפה, הודיע הבולשת הפדרלית של ארצות הברית (FBI) על אזהרה לציבור וקראה לכל מפעילי הצמתים לחסום עסקאות המתבצעות על ידי כתובות ארנק הקשורות להאקרים מצפון קוריאה. האזהרה עלתה לאחר שהכספים הגנובים נשטפו והומרו למטבע פיאט.

במהלך זמן קצר של 10 ימים, הלבינו ההאקרים 100% מהמטבעות הגנובים שכללו כ-500,000 אסימונים הקשורים לאיתריום. מנכ"ל Bybit, בן ג'ו, ציין כי 77% מהכספים עדיין ניתנים למעקב בשרשרת הבלוקצ'יין, בעוד שכ-280 מיליון דולר נעלמו ולא ניתנים למעקב ישיר.

תקוות לצעדים מניעים נוספים

למרות הלבנת הכספים, המנכ"ל של חברת הסייבר Cyvers, דדי לביד, מעריך כי ייתכן שצוותי סייבר עוד יוכלו לאתר ולהקפיא חלק מהכספים הגנובים.

ההבנה המאוחרת של המהלכים המתוחכמים של קבוצות האקרים כגון קבוצת Lazarus, המדווחת כקבוצה המועדפת על ידי מדינת צפון קוריאה, דורשת העלאת המודעות וגם התחזקות ההתמחות של צוותי אבטחה הגלובלי למניעת הפריצות הבאות אל תוך העולם הפיננסי הדיגיטלי.