se qualcuno ha informazioni piu dettagliate a riguardo mi piacerebbe sapere come tecnicamente possano aver fatto a fare una cosa del genere.
Copio-incollo il contenuto di un post fatto su Facebook da Federico Izzi (
link):
L'exploit di Bybit di oggi è il più grande furto nella storia delle criptovaluteBybit, tra i primi 5 exchange di derivati crypto mondiali, oggi è stata vittima di un attacco informatico senza precedenti per dimensioni, metodologia e sofisticazione sociale, che ha portato al furto di 1,46 miliardi di dollari in Ethereum, rendendolo il più grande furto nella storia del settore.
Questo importo rappresenta il 16% di tutti gli hack crypto precedenti combinati.
Come è avvenuto l'attaccoL'allarme è stato lanciato dall’analista on-chain ZachXBT, che ha segnalato flussi sospetti in uscita da Bybit.
Inizialmente, sono stati osservati scambi di mETH e stETH in ETH su DEX (exchange decentralizzati).
Successivamente, il ladro ha adottato strategie sofisticate, dividendo i fondi in diverse tranche: 10.000 ETH sono stati inviati a 39 indirizzi, poi altri 10.000 ETH a 9 indirizzi aggiuntivi.
Un sofisticato attacco basato sull'ingegneria socialeIl colpo non è stato la causa di una vulnerabilità tecnica nello smart contract, ma un attacco diretto agli esseri umani, in particolare ai firmatari del wallet multi-firma di Bybit.
Gli hacker hanno creato un'interfaccia utente ingannevole all’interno di Safe (ex Gnosis Safe), un popolare gestore di portafogli multi-firma.
Ai firmatari di Bybit è stata mostrata una transazione apparentemente legittima mentre in realtà stavano firmando una modifica alla logica del contratto dello smart wallet ETH.
In questo modo, gli hacker hanno preso il controllo del cold wallet di Bybit.
Il fondatore di Bybit, Ben Zhou, ha confermato che tutti i firmatari hanno visto un’interfaccia "truccata" che mostrava un indirizzo corretto, ma il messaggio di firma ha alterato la logica del portafoglio.
Come hanno fatto?L’attacco ha richiesto diversi passaggi:
▪ Identificazione di tutti i firmatari del multi-sig di Bybit.
▪ Infezione dei loro dispositivi con malware.
▪ Alterazione dell’interfaccia utente per mostrare una transazione legittima mentre ne firmavano un’altra.
▪ Ottenere la firma di tutti i firmatari senza che sospettassero nulla.
Questo tipo di attacco ridefinisce il concetto di sicurezza dei cold wallet, dimostrando che anche i sistemi multi-firma possono essere vulnerabili se i firmatari vengono ingannati.
La risposta di BybitBybit ha garantito che è solvente nonostante la perdita di 1,46 miliardi di dollari.
Tutti gli asset dei clienti sono coperti in rapporto 1:1 e l’exchange sarebbe in grado di sostenere un potenziale “bank run” (corsa ai prelievi).
Le operazioni su Bybit non sono state interrotte: i prelievi continuano regolarmente.
Secondo la società, solo il cold wallet ETH è stato compromesso, mentre gli hot wallet, warm wallet e altri cold wallet rimangono intatti.
Le indagini e il coinvolgimento di SafeSafe ha avviato un’indagine in collaborazione con Bybit, dichiarando di non aver trovato prove di una compromissione della propria interfaccia.
Alcune funzionalità di Safe sono state temporaneamente sospese per precauzione.
Collegamento con il gruppo LazarusZachXBT ha scoperto che l’attacco è stato eseguito dal famigerato gruppo Lazarus, un’entità nordcoreana responsabile di molte delle più grandi violazioni nel settore crypto.
L'analisi forense ha identificato transazioni di test e wallet collegati all’exploit, confermando il coinvolgimento del gruppo.
Il metodo dell'attacco: già vistoIl metodo utilizzato è simile a quello degli attacchi a WazirX e Radiant.
Possibili cause:▪ Un virus nel computer/browser dei firmatari ha modificato la transazione prima dell’invio al wallet hardware.
▪ L’interfaccia di Safe potrebbe essere stata compromessa per mostrare una transazione legittima mentre veniva inviata un’operazione malevola.
▪ Blind signing: i firmatari non hanno visto esattamente cosa stavano firmando.
Cambia la sicurezza per i proprietari di criptovaluteQuesto attacco ha rivelato vulnerabilità critiche nel modello di sicurezza crypto:
▪ I multi-sig non sono infallibili se i firmatari possono essere ingannati.
▪ I cold wallet non sono automaticamente sicuri.
L'anello più debole rimane l'essere umano, non il codice▪ Gli attacchi alla supply chain stanno diventando più sofisticati.
Cosa succederà ora?Le prossime 48 ore saranno cruciali per capire:
▪ Se Bybit riuscirà a recuperare i fondi.
▪ Se manterrà la fiducia degli utenti.
▪ Se verrà rivelato come i firmatari siano stati compromessi.
▪ Se collaborerà con le autorità per individuare i responsabili.
Impatti sul mercatoL’evento ha avuto un impatto immediato sui mercati: il prezzo di Bitcoin, che si stava avvicinando ai 100.000 dollari, è stato respinto e ha subito una correzione di circa 4.000 dollari in meno di 6 ore.
Alcuni protocolli DeFi stanno rivalutando la loro esposizione a Bybit, anche se Ethena Labs ha confermato che non detiene riserve sulla piattaforma.
Lezioni sulla sicurezza da imparare▪ Usare hardware wallet con verifica su schermo.
▪ Implementare un approccio "zero-trust".
▪ Non firmare mai transazioni che non si comprendono pienamente.
▪ Avere più livelli di sicurezza con provider diversi.
▪ Essere consapevoli che il malware può alterare ciò che si vede su uno schermo.
Uno scenario senza precedentiBinance e Bitget si sono lanciati subito inviando oltre 50.000 ETH direttamente ai cold wallet di Bybit per garantire la liquidità che permette di continuare ad operare normalmente e senza interruzioni come, invece, avvenuto nel passato.
L'analista Conor Grogan ha definito 'scioccante' il deposito di Bitget che rappresenta un quarto di tutti gli ETH dell'exchange.
Tutti i fondi sono stati trasferiti direttamente ai cold wallet bypassando gli indirizzi di deposito standard, dimostrando che si è trattato di un salvataggio coordinato e con una velocità senza precedenti.
▪ Se la piattaforma riuscirà a gestire la crisi in modo efficace, potrebbe addirittura rafforzare la fiducia nell'ecosistema crypto.
▪ Al contrario, al momento che scrivo sembrerebbe l'evento meno probabile, se dovessero emergere problemi di liquidità o difficoltà nel rimborso dei clienti, potremmo assistere alla più grande crisi di un exchange dopo il crollo di FTX (Nov'22).
