bybit hackerato

[giorgione]

Proprio questo tardo pomeriggio è uscita la notizia che bybit uno degli exchange più grandi del mondo, è stato hackerato, è vero la faccenda comprende principalmente etherum e il suo mondo quindi mi direte voi cosa centra con bitcoin ?
Questo episodio ci fà capire quando sia importante non tenere le proprie crypto sugli exchange che siano eth o btc è sempre fondamentale un utilizzare wallet non custodial per conservare fondi a lungo termine ed evitare sempre di tenere somme troppo grandi negli exchange, se qualcuno ha informazioni piu dettagliate a riguardo mi piacerebbe sapere come tecnicamente possano aver fatto a fare una cosa del genere.

[Ale88]

se qualcuno ha informazioni piu dettagliate a riguardo mi piacerebbe sapere come tecnicamente possano aver fatto a fare una cosa del genere.

Copio-incollo il contenuto di un post fatto su Facebook da Federico Izzi (link):

L'exploit di Bybit di oggi è il più grande furto nella storia delle criptovalute
Bybit, tra i primi 5 exchange di derivati crypto mondiali, oggi è stata vittima di un attacco informatico senza precedenti per dimensioni, metodologia e sofisticazione sociale, che ha portato al furto di 1,46 miliardi di dollari in Ethereum, rendendolo il più grande furto nella storia del settore.
Questo importo rappresenta il 16% di tutti gli hack crypto precedenti combinati.

Come è avvenuto l'attacco
L'allarme è stato lanciato dall’analista on-chain ZachXBT, che ha segnalato flussi sospetti in uscita da Bybit.
Inizialmente, sono stati osservati scambi di mETH e stETH in ETH su DEX (exchange decentralizzati).
Successivamente, il ladro ha adottato strategie sofisticate, dividendo i fondi in diverse tranche: 10.000 ETH sono stati inviati a 39 indirizzi, poi altri 10.000 ETH a 9 indirizzi aggiuntivi.

Un sofisticato attacco basato sull'ingegneria sociale
Il colpo non è stato la causa di una vulnerabilità tecnica nello smart contract, ma un attacco diretto agli esseri umani, in particolare ai firmatari del wallet multi-firma di Bybit.
Gli hacker hanno creato un'interfaccia utente ingannevole all’interno di Safe (ex Gnosis Safe), un popolare gestore di portafogli multi-firma.
Ai firmatari di Bybit è stata mostrata una transazione apparentemente legittima mentre in realtà stavano firmando una modifica alla logica del contratto dello smart wallet ETH.
In questo modo, gli hacker hanno preso il controllo del cold wallet di Bybit.
Il fondatore di Bybit, Ben Zhou, ha confermato che tutti i firmatari hanno visto un’interfaccia "truccata" che mostrava un indirizzo corretto, ma il messaggio di firma ha alterato la logica del portafoglio.

Come hanno fatto?
L’attacco ha richiesto diversi passaggi:
▪ Identificazione di tutti i firmatari del multi-sig di Bybit.
▪ Infezione dei loro dispositivi con malware.
▪ Alterazione dell’interfaccia utente per mostrare una transazione legittima mentre ne firmavano un’altra.
▪ Ottenere la firma di tutti i firmatari senza che sospettassero nulla.
Questo tipo di attacco ridefinisce il concetto di sicurezza dei cold wallet, dimostrando che anche i sistemi multi-firma possono essere vulnerabili se i firmatari vengono ingannati.

La risposta di Bybit
Bybit ha garantito che è solvente nonostante la perdita di 1,46 miliardi di dollari.
Tutti gli asset dei clienti sono coperti in rapporto 1:1 e l’exchange sarebbe in grado di sostenere un potenziale “bank run” (corsa ai prelievi).
Le operazioni su Bybit non sono state interrotte: i prelievi continuano regolarmente.
Secondo la società, solo il cold wallet ETH è stato compromesso, mentre gli hot wallet, warm wallet e altri cold wallet rimangono intatti.

Le indagini e il coinvolgimento di Safe
Safe ha avviato un’indagine in collaborazione con Bybit, dichiarando di non aver trovato prove di una compromissione della propria interfaccia.
Alcune funzionalità di Safe sono state temporaneamente sospese per precauzione.

Collegamento con il gruppo Lazarus
ZachXBT ha scoperto che l’attacco è stato eseguito dal famigerato gruppo Lazarus, un’entità nordcoreana responsabile di molte delle più grandi violazioni nel settore crypto.
L'analisi forense ha identificato transazioni di test e wallet collegati all’exploit, confermando il coinvolgimento del gruppo.

Il metodo dell'attacco: già visto
Il metodo utilizzato è simile a quello degli attacchi a WazirX e Radiant.

Possibili cause:
▪ Un virus nel computer/browser dei firmatari ha modificato la transazione prima dell’invio al wallet hardware.
▪ L’interfaccia di Safe potrebbe essere stata compromessa per mostrare una transazione legittima mentre veniva inviata un’operazione malevola.
▪ Blind signing: i firmatari non hanno visto esattamente cosa stavano firmando.

Cambia la sicurezza per i proprietari di criptovalute
Questo attacco ha rivelato vulnerabilità critiche nel modello di sicurezza crypto:
▪ I multi-sig non sono infallibili se i firmatari possono essere ingannati.
▪ I cold wallet non sono automaticamente sicuri.

L'anello più debole rimane l'essere umano, non il codice
▪ Gli attacchi alla supply chain stanno diventando più sofisticati.

Cosa succederà ora?
Le prossime 48 ore saranno cruciali per capire:
▪ Se Bybit riuscirà a recuperare i fondi.
▪ Se manterrà la fiducia degli utenti.
▪ Se verrà rivelato come i firmatari siano stati compromessi.
▪ Se collaborerà con le autorità per individuare i responsabili.

Impatti sul mercato
L’evento ha avuto un impatto immediato sui mercati: il prezzo di Bitcoin, che si stava avvicinando ai 100.000 dollari, è stato respinto e ha subito una correzione di circa 4.000 dollari in meno di 6 ore.
Alcuni protocolli DeFi stanno rivalutando la loro esposizione a Bybit, anche se Ethena Labs ha confermato che non detiene riserve sulla piattaforma.

Lezioni sulla sicurezza da imparare
▪ Usare hardware wallet con verifica su schermo.
▪ Implementare un approccio "zero-trust".
▪ Non firmare mai transazioni che non si comprendono pienamente.
▪ Avere più livelli di sicurezza con provider diversi.
▪ Essere consapevoli che il malware può alterare ciò che si vede su uno schermo.

Uno scenario senza precedenti
Binance e Bitget si sono lanciati subito inviando oltre 50.000 ETH direttamente ai cold wallet di Bybit per garantire la liquidità che permette di continuare ad operare normalmente e senza interruzioni come, invece, avvenuto nel passato.
L'analista Conor Grogan ha definito 'scioccante' il deposito di Bitget che rappresenta un quarto di tutti gli ETH dell'exchange.
Tutti i fondi sono stati trasferiti direttamente ai cold wallet bypassando gli indirizzi di deposito standard, dimostrando che si è trattato di un salvataggio coordinato e con una velocità senza precedenti.
▪ Se la piattaforma riuscirà a gestire la crisi in modo efficace, potrebbe addirittura rafforzare la fiducia nell'ecosistema crypto.
▪ Al contrario, al momento che scrivo sembrerebbe l'evento meno probabile, se dovessero emergere problemi di liquidità o difficoltà nel rimborso dei clienti, potremmo assistere alla più grande crisi di un exchange dopo il crollo di FTX (Nov'22).

[jack0m]

Premetto che non conoscevo Safe, ho dato un'occhiata e ho visto che ha un'interfaccia a cui si accede via web. Già questo mi pare una follia: come si fa a gestire fondi per miliardi tramite dispositivi connessi alla rete?
Un cold wallet che si rispetti dovrebbe dare la possibilità di firmare transazioni da dispositivi tenuti completamente offline, come è possibile ad esempio con electrum per transazioni bitcoin. Il fatto di usare indirizzi multi-signature da una falsa idea di sicurezza, ma rimane intrinsecamente vulnerabile alla compromissione dei dispositivi connessi usati per accedere al wallet.

[giammangiato]

Lazarus group, sempre loro, dici bene ale, gira e rigira di mezzo ci stanno sempre loro sempre e comunque.
Gente che fa hacker con la pistola puntata alla testa, sappiamo benissimo come ragione il leader del Nord Corea: se sbagli sei morto.
Oppure preso a cannonate oppure sbranato dai cani, dipende dal momento.

[cande86]

Copio-incollo il contenuto di un post fatto su Facebook da Federico Izzi..

Quindi questo il motivo del down di ieri, infatti non mi spiegavo stava salendo e poi bruscamente giù. Ora tutto combacia perfettamente.
Se era un attacco con importi normali probabilmente il mercato non ne avrebbe risentito ma essendo stato un attacco grosso, il più grosso allora giustamente l'onda d'urto si è fatta vedere.
Trovo interessante come in ogni caso tutto il settore sia particolarmente resiliente mi stupisco di come ETH foundation non abbia fatto il rollback delle transazioni, forse non potevano.
In passato è stato mai fatto, che voi sapete?
In ogni caso grazie per la notizia e per il thread sopratutto.

[Ale88]

mi stupisco di come ETH foundation non abbia fatto il rollback delle transazioni, forse non potevano.
In passato è stato mai fatto, che voi sapete?

Credo che fosse stato fatto nel 2016 quando ci fu un altro hack, e questo porto ad un hard fork. Il problema è che casi del genere portano a violare il principio di immutabilità della blockchain, non è una decisione che si può prendere alla leggera perché tanto basta fare un roll back e siamo a posto così. In questo caso poi sembrerebbe che l'errore sia umano, peggio ancora quindi in quanto perfettamente evitabile (per quanto l'attacco fosse sofisticato).

[Lillominato89]

Caspita, non mi collego per un giorno e guarda cosa succede!
Questa è una bella batosta di furto! Ben orchestrata direi. Mi chiedo come mai ancora oggi c'è gente che riesce a lasciare i propri fondi su Exchange. E mo chi paga sto danno?

[Ale88]

Mi chiedo come mai ancora oggi c'è gente che riesce a lasciare i propri fondi su Exchange.

Non tutti sono holder, c'è anche chi fa trading e quel punto sei costretto a lasciare i fondi su exchange, mica puoi pensare di spostarli ogni giorno.

[Lillominato89]

Mi chiedo come mai ancora oggi c'è gente che riesce a lasciare i propri fondi su Exchange.

Non tutti sono holder, c'è anche chi fa trading e quel punto sei costretto a lasciare i fondi su exchange, mica puoi pensare di spostarli ogni giorno.

Assolutamente, chi fa trading ovviamente è quasi obbligato a lasciarli sul Exchange, anche se esistono i paranoici che ad ogni chiusura di trade tolgono tutto e mettono in salvo. Il problema è che molti invece usano gli Exchange per detenere le crypto, e questo succede troppo spesso, come se tutti i furti passati non hanno insegnato nulla a molti, è angosciante per certi versi

[cande86]

Non tutti sono holder, c'è anche chi fa trading e quel punto sei costretto a lasciare i fondi su exchange, mica puoi pensare di spostarli ogni giorno.

eh si proprio così purtroppo c'è anche chi fa trading e quindi di conseguenza come fai? per forza devi tenerli sugli exchange a meno che dovresti ritirarli ogni sera però oltre a essere costoso è anche parecchio scomodo

[Ale88]

Comunque da quello che mi pare di leggere in giro nessun utente ha subito la perdita dei fondi personali, questo al momento è un problema che riguarda solamente ByBit e altri exchange hanno inviato degli ETH di supporto proprio perché l'exchange fosse in grado di resistere ad una eventuale corsa ai prelievi (che non mi pare si sia verificata).

[giorgione]

alcune considerazioni inerenti, per chiarire questo discorso:
Il social engineering oggi é il vettore d'attacco piú economicamente efficiente, il fatto che ci sia sempre piu spam la dice lunga Non serviva Bybit per scoprirlo.
L'essere umano é l'anello spesso piú debole di una catena SEMPRE.
Dove ci sono soldi beh ci sono sempre piu hacker, è cosi, e quindi ci saranno sempre piu malintenzionati.
Altra considerazione, si sottovaluta sempre chi lavora all'interno della piattaforma e si sta sempre piu attenti a chi prova ad entrare da fuori, io starei sempre molto attento a chi lavora al codice, è facile per chi è dentro fare qualche modifica per manternersi l'accesso da remoto.

[babo]

alcune considerazioni inerenti, per chiarire questo discorso:
Il social engineering oggi é il vettore d'attacco piú economicamente efficiente, il fatto che ci sia sempre piu spam la dice lunga Non serviva Bybit per scoprirlo.
L'essere umano é l'anello spesso piú debole di una catena SEMPRE.
Dove ci sono soldi beh ci sono sempre piu hacker, è cosi, e quindi ci saranno sempre piu malintenzionati.
Altra considerazione, si sottovaluta sempre chi lavora all'interno della piattaforma e si sta sempre piu attenti a chi prova ad entrare da fuori, io starei sempre molto attento a chi lavora al codice, è facile per chi è dentro fare qualche modifica per manternersi l'accesso da remoto.

Si fa esattamente cosi, lo so perche ho fatto il mestiere dove ti trovi dalla parte del difensore, ovviamente.
L'unica cosa che puoi fare pre rinforzare l'anello debole gli umani, e' fare corsi obbligatori.
PCI e GDPR sono molto importanti e possono mettere in ginocchio le aziende quindi non si scherza

[bitcoiner180]

si è nuovamente paventata la possibilità di effettuare un "rollback" della blockchain ETH per "recuperare" questi fondi che sono stati rubati.
Lo stato disastroso della rete Ethereum rimane ad aleggiare come un fantasma (dal disastro di DAO e il fork con ETH classic eccoci di nuovo a discutere della stessa cosa...)
Oltre ai traders, alcuni proprietari di crypto le "depositano" negli exchange per guadagnare interessi passivi sulle loro coins.
La solvibilità dell'exchange (sembrerebbe) riesca ad essere in ogni caso garantita...chissà se un giorno questo possa diventare una sorta di requisito normativo per essere operativi (garantire extra fondi proprio contro questi hack).

https://www.coindesk.com/policy/2025/02/20/u-s-marshals-service-managing-seized-assets-can-t-say-how-much-crypto-it-holds
Chissà come verrano giustificati ammanchi in questa nuova vicenda

C'è una differenza sostanziale con l'hack di DAO.

L'hack di DAO ha sfruttato un bug di Ethereum che ha permesso agli hacker di violare lo smart contract DAO. Gli sviluppatori di Ethereum quando se ne sono accorti hanno corretto il bug e inoltre hanno deciso di creare un hard fork per rendere questo fix retroattivo, annullando così le transazioni fatte dagli hacker.

Nel caso di bybit invece non è stato sfruttato alcun bug di Ethereum, la colpa è unicamente dovuta alla "malagestione" dei fondi di bybit operata dai suoi tesorieri. In questo caso gli sviluppatori di Ethereum non potrebbero creare la narrativa "Scusate, abbiamo sbagliato facciamo un'hard fork per farci perdonare".

[Italian Panic]

Ethereum sta diventando un colabrodo, spiace ammetterlo ma solana gli sta facendo le scarpe nonostante gli annosi problemi

[Italian Panic]

Si fa esattamente cosi, lo so perche ho fatto il mestiere dove ti trovi dalla parte del difensore, ovviamente.
L'unica cosa che puoi fare pre rinforzare l'anello debole gli umani, e' fare corsi obbligatori.
PCI e GDPR sono molto importanti e possono mettere in ginocchio le aziende quindi non si scherza

Bisognerebbe fare dei corsi obbligatori nella gestione di connessioni pubbliche, quando entri in un locale tutti subito a cercare la pass del wifi al bancone senza sapere realmente a che rischi si va incontro su una wifi pubblica.

[xenomorfo]

C'è una differenza sostanziale con l'hack di DAO.

L'hack di DAO ha sfruttato un bug di Ethereum che ha permesso agli hacker di violare lo smart contract DAO. Gli sviluppatori di Ethereum quando se ne sono accorti hanno corretto il bug e inoltre hanno deciso di creare un hard fork per rendere questo fix retroattivo, annullando così le transazioni fatte dagli hacker.

Nel caso di bybit invece non è stato sfruttato alcun bug di Ethereum, la colpa è unicamente dovuta alla "malagestione" dei fondi di bybit operata dai suoi tesorieri. In questo caso gli sviluppatori di Ethereum non potrebbero creare la narrativa "Scusate, abbiamo sbagliato facciamo un'hard fork per farci perdonare".

La cosa non mi stupisce affatto, motivo ulteriore per evitare di baloccarsi con gli exchange, i grulli di questo mondo.
Ricordate se andate a dormire con i grulli non farete affatto un buon risveglio, questo diceva la mia cara nonna.
Tenete i vostri satoshi nel wallet e vivete sereni.

[martinom]

Assolutamente, chi fa trading ovviamente è quasi obbligato a lasciarli sul Exchange, anche se esistono i paranoici che ad ogni chiusura di trade tolgono tutto e mettono in salvo. Il problema è che molti invece usano gli Exchange per detenere le crypto, e questo succede troppo spesso, come se tutti i furti passati non hanno insegnato nulla a molti, è angosciante per certi versi

in effetti non ci avevo pensato chi fa trading come fa? anche col defi per forza devi lasciarli lì negli smart contract quindi è un vero problema cioè chi è paranoico per la sicurezza come fa? non ci avevo mai pensato anche perché non faccio trading.

[giorgione]

C'è una differenza sostanziale con l'hack di DAO.

L'hack di DAO ha sfruttato un bug di Ethereum che ha permesso agli hacker di violare lo smart contract DAO. Gli sviluppatori di Ethereum quando se ne sono accorti hanno corretto il bug e inoltre hanno deciso di creare un hard fork per rendere questo fix retroattivo, annullando così le transazioni fatte dagli hacker.

Nel caso di bybit invece non è stato sfruttato alcun bug di Ethereum, la colpa è unicamente dovuta alla "malagestione" dei fondi di bybit operata dai suoi tesorieri. In questo caso gli sviluppatori di Ethereum non potrebbero creare la narrativa "Scusate, abbiamo sbagliato facciamo un'hard fork per farci perdonare".

La cosa non mi stupisce affatto, motivo ulteriore per evitare di baloccarsi con gli exchange, i grulli di questo mondo.
Ricordate se andate a dormire con i grulli non farete affatto un buon risveglio, questo diceva la mia cara nonna.
Tenete i vostri satoshi nel wallet e vivete sereni.

nonostante la tecnologia di eth sia un casino continuano ad investirci, e fanno credere che Vitalik sia un super eroe quando in realtà è solo un idiota secondo me, sicuramente sarà piu bravo di me a programmare ma resta sempre una persona che secondo me non sà cosa sta facendo e non sà neanche lui come gestisce tutti i suoi soldi

[babo]

ma lascialo stare povero Vitalik, e' uno zombie morto ma non sa di esserlo
voi non lo capite, ora con i soldi ha accesso a una cosa che non aveva mai avuto: la figa
quindi non gliene frega proprio niente di eth dei soldi e del resto

fidatevi che e' come dico io