Güvenli {cüzdan}, Bybit’in 1,5 milyar dolarlık kripto soygununa yol açan siber güvenlik olayının, “son derece sofistike, devlet destekli bir saldırı” olduğunu, Hack’in arkasındaki Kuzey Kore tehdit aktörlerinin, soruşturma çabalarını engellemek için kötü niyetli faaliyetin izlerini silmek için adımlar attığını ortaya koydu.
Adli bir soruşturma yapmak için Google Cloud Mandiant’ta halatlanan çok özel (MultiSig) platformu, saldırının Jade Sleet, Pukchong ve UNC4899 olarak da bilinen bir hack grubunun çalışması olduğunu söyledi.
“Saldırı, güvenli bir {cüzdan} geliştiricinin dizüstü bilgisayarının (‘geliştirici1’) uzlaşmasını ve AWS oturumu tokenlerinin çok faktörlü kimlik doğrulama (‘MFA’) kontrollerini atlamaya çalışmasını içeriyordu.” Diyerek şöyle devam etti: “Bu geliştirici, görevlerini yerine getirmek için daha yüksek erişime sahip olan çok az personelden biriydi.”
Daha ileri analizler, tehdit aktörlerinin 4 Şubat 2025’te, bireyin sosyal mühendislik saldırısı yoluyla muhtemelen “MC tabanlı Stock-Invest-Simulator-Main” adlı bir Docker projesini indirdiği zaman geliştiricinin Apple MacOS makinesine girdiğini belirledi. Proje “GetStockPrice[.]com “Bu iki gün önce Namecheap’te kayıtlı.
Bu, tüccar aktörlerinin kripto para birimi değişim geliştiricilerini, bir Docker projesinin telgrafla yaklaştıktan sonra sorun gidermesine yardımcı olmaları için kandırdığını gösteren önceki kanıtlardır. Docker Projesi, Plottwist adında kalıcı uzaktan erişimi sağlayan bir sonraki aşamalı bir yük bırakacak şekilde yapılandırılmıştır.
Safe {cüzdan} ‘ın “saldırgan kötü amaçlı yazılımlarını kaldırdı ve soruşturma çabalarını engellemek için Bash tarihini temizledi” dediği gibi, aynı modus operandi’nin en son saldırılarda istihdam edilip edilmeyeceği açık değil.
Nihayetinde, iş istasyonuna dağıtılan kötü amaçlı yazılımların, şirketin Amazon Web Hizmetleri (AWS) ortamının keşiflerini yürütmek ve Radar’ın altında uçmak için geliştiricinin programı ile uyumlu kendi eylemlerini gerçekleştirmek için aktif AWS kullanıcı oturumlarını ele geçirdiği söylenir.
“Saldırganın geliştirici1’in AWS hesabının kullanımı,#kali.2024 dağıtım içeren kullanıcı ajanı dizeleriyle ExpressVPN IP adreslerinden kaynaklandı.” Dedi. “Bu kullanıcı ajanı dizesi, saldırı güvenlik uygulayıcıları için tasarlanmış Kali Linux’un kullanımını gösteriyor.”
Saldırganlar ayrıca açık kaynaklı efsanevi çerçevenin konuşlandırılması ve 19-21 Şubat 2025 arasında iki günlük bir süre için SAFE {cüzdan} web sitesine kötü niyetli JavaScript kodu enjekte ettiği gözlemlenmiştir.
Bybit CEO’su Ben Zhou, bu haftanın başlarında paylaşılan bir güncellemede, çalınan fonların% 77’sinden fazlasının izlenebilir kaldığını ve% 20’sinin karanlık olduğunu ve% 3’ünün donduğunu söyledi. Mantle, Paraswap ve Zachxbt dahil 11 partiye varlıkları dondurmasına yardımcı olduğu için kredi verdi. Yaklaşık% 83 (417.348 ETH) Bitcoin’e dönüştürüldü ve 6.954 cüzdana dağıtıldı.
Hack’in ardından, 2025, kripto para birimi soygunları için rekor bir yıl için yolda, Web3 projeleri zaten ilk iki ayda şaşırtıcı bir 1.6 milyar dolar kaybediyor ve blockchain güvenlik platformu Immunefi’nin verilerine göre, geçen yıl 200 milyon $ ‘dan 8 kat artış.
Şirket, “Son saldırı, tehdit aktörlerinin gelişen sofistike olmasının altını çiziyor ve Web3 güvenliğindeki kritik güvenlik açıklarını vurguluyor.” Dedi.
“İmzaladığınız işlemin amaçlanan sonuçla sonuçlanacağını doğrulamak, Web3’teki en büyük güvenlik zorluklarından biri olmaya devam ediyor ve bu sadece bir kullanıcı ve eğitim sorunu değil, kolektif eylem gerektiren endüstri çapında bir konudur.”