Kripto para değişimi Bybit, Ethereum soğuk cüzdanlarını içeren yetkisiz faaliyet tespit etti ve büyük bir güvenlik ihlaline yol açtı.
Olay, saldırganlar işlemi müdahale edip manipüle ettiğinde ve nihayetinde değişimin soğuk deposundan 400.000 ETH’yi sifonladığında, güvenli {cüzdan} yoluyla kolaylaştırılan bir ETH çoklu işlem sırasında meydana geldi.
Saldırı, macOS kötü amaçlı yazılım dağıtım, AWS bulut altyapısı uzlaşması ve akıllı sözleşme manipülasyonu dahil olmak üzere birden fazla güvenlik alanında eşi görülmemiş bir sofistike olduğunu gösterdi.
FBI, saldırıyı Kuzey Kore ile bağlantılı bir tehdit aktörü olan Lazarus Grubu olarak da bilinen ‘Tradetraitor’a bağladı ve önceki çok sayıda kripto para birimi soygunundan sorumlu.
Sygnia araştırmacıları, en eski kötü niyetli etkinliğin 4 Şubat 2025’te, Sosyal Mühendislik yoluyla güvenli bir {cüzdan} geliştiricisinin MacOS iş istasyonunun tehlikeye atıldığı zaman başladığını belirledi.
Geliştirici, kötü niyetli bir alan ile iletişimi başlatan “MC tabanlı Stock Stock-Invest-Simülatör-Main” adlı şüpheli bir Docker projesi indirdi.
5 Şubat ve 17 Şubat arasında, saldırganlar AWS kimlik bilgilerini tehlikeye atılan geliştirici iş istasyonundan çaldıktan sonra SAFE {cüzdan} ‘nın AWS altyapısında faaliyet gösterdi.
Saldırganlar ExpressVPN IP adreslerinden yararlandı ve algılamayı önlemek için etkinliklerini geliştiricinin çalışma saatleriyle hizaladı.
19 Şubat’ta saldırganlar SAFE {cüzdan} ‘ın AWS S3 Buck’ta barındırılan JavaScript kaynaklarını değiştirdi.
.webp)
Bu değişiklikler, işlemleri özellikle Bybit’in soğuk cüzdan adresinden manipüle etmek için tasarlanmış kötü amaçlı kod enjekte etti.
Teknik yürütme
Teknik yürütme, meşru işlem yüklerinin önceden teslim edilmiş kötü niyetli bir akıllı sözleşmeye delege çağrılarıyla değiştirilmesini içeriyordu.
Bu delege çağrı mekanizması, saldırganların cüzdanın uygulamasını “Suppeeth” ve “Swareerc20” işlevleri içeren kötü niyetli bir sürümle değiştirmesine izin verdi.
Bu işlevler, standart çoklu onay sürecine ihtiyaç duymadan fonların aktarılmasını sağladı.
Kötü niyetli kod, güvenlik kontrollerini atlamak için tasarlanmış işlem doğrulama kurcalamasının yanı sıra belirli sözleşme adreslerini hedefleyen bir aktivasyon koşulu içeriyordu.
.webp)
Anchain’in istismar bayt kodunun ters mühendisliği, saldırganlar tarafından uygulanan dört kötü niyetli akıllı sözleşme işlevini ortaya çıkardı.
Soygunun yürütülmesinden sadece iki dakika sonra, saldırganlar kötü amaçlı javascript kodunu SAFE {cüzdan} ‘ın web arayüzünden çıkardı ve parçalarını örtmeye çalıştı.
Bybit davası, soruşturma bulgularının ayrıntılı olarak açıklanması, endüstrinin gelecekte benzer saldırılara karşı daha etkili savunmalar geliştirmesine izin verdiğinden, adli şeffaflık için yeni bir ölçüt belirlemiştir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.