Condividi
Arriva il report preliminare dell’hack di Bybit, che è stato condiviso dal CEO del crypto exchange, Ben Zhou. Secondo i primi rilievi, che sono stati condotti da società terze – Sygnia Labs e verichains – l’hack non avrebbe riguardato l’infrastruttura hardware e software di Bybit e utilizzata per la gestione dei dispositivi per la firma, ma piuttosto Safe.
Il report completo è disponibile qui e parla di un complesso attacco che ha coinvolto alcuni file .js di Safe, con l’obiettivo di colpire soltanto Bybit (e potenzialmente altri operatori di una certa taglia) e tenere al di fuori dell’attacco utenti ordinari, con ogni probabilità per portare a segno un solo colpo prima che ci si accorgesse del… problema.
Le indagini preliminari comunque parlano di evidenze sufficienti per ritenere che l’attacco hacker abbia colpito appunto l’infrastruttura di Safe.
Un file rimpiazzato
Ad essere stato rimpiazzato è stato un file – app.safe.global – con codice creato allo scopo da Lazarus Group. Il codice inoltre prevedeva, sempre secondo quanto è stato riportato dall’indagine preliminare, l’attivazione non appena Bybit avesse completato una transazione.
Sempre secondo le indagini, nello specifico quelle in capo a verichains, c’è una buona probabilità che le API Key di SAFE per AWS S3 o CloudFront siano state sottratte o compromesse.
In arrivo altre indagini
Saranno comunque in arrivo altre indagini che finiranno per chiarire ulteriormente la vicenda, anche alla luce di quanto affermato da Safe stessa.
Come era emerso già dalle prime ore successive all’attacco, si è trattato di un’operazione piuttosto articolata, preparata nel tempo e che ha coinvolto specialisti di primo profilo. Un attacco in pieno stile Lazarus Group.
Dove sono i fondi?
C’è un buon recap pubblicato da Routescan su X, che alleghiamo per chi volesse saperne di più su quanto accaduto nel ultime ore, anche ai fondi sottratti a Bybit.
Per ora circa 900 milioni non sono stati ancora riciclati né mixati, cosa che probabilmente i responsabili dell’attacco proveranno a fare a tempo debito. Seguiremo anche questa vicenda secondaria se vogliamo sul nostro Canale Telegram Ufficiale.
Nel frattempo le operazioni di Bybit sono tornate alla piena normalità. I risvolti per la sicurezza generale del settore saranno da valutarsi alla luce di queste prime informazioni che sono state fatte circolare da Bybit e – lo ripetiamo a scanso di ogni equivoco – prodotte da società terze.
![](data:image/svg+xml;charset=utf-8,<svg height="300px" width="300px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="0px" width="0px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)