21 Şubat 2025’te meydana gelen Bybit Hack, Sygnia da dahil olmak üzere birden fazla siber güvenlik ekibi tarafından kapsamlı bir şekilde analiz edildi.
Bu saldırı, MacOS kötü amaçlı yazılım, AWS bulut uzlaşması, uygulama güvenliği ve akıllı sözleşme güvenliği dahil olmak üzere çeşitli alanlarda önemli güvenlik açıkları ortaya koydu.
Olay, Bybit’in Ethereum (ETH) soğuk cüzdanlarında yetkisiz faaliyet içeriyordu; burada ETH çoklu bir işlemin soğuk bir cüzdandan sıcak bir cüzdana güvenli {cüzdan} ile manipüle edildiği ve saldırganların sifonları sifon yapmasına izin verdi.
Saldırı Zaman Çizelgesi
Bilinen en eski kötü amaçlı etkinlik, 4 Şubat 2025’te, muhtemelen sosyal mühendislik yoluyla güvenli bir {cüzdan} geliştiricisinin macOS iş istasyonunun tehlikeye atıldığı zaman başladı.
Bu, 5 Şubat ve 21 Şubat tarihleri arasında SAFE {cüzdan} ‘nın AWS altyapısına erişmek için kullanılan AWS erişim belirteçlerinin çalınmasına yol açtı.
Bu dönemde, faaliyetlerinin belirli ayrıntıları sınırlı olmasına rağmen, saldırganlar altyapı içinde faaliyet gösterdi.
19 Şubat’ta, Safe {cüzdan} ‘ın web arayüzünü sunan bir AWS S3 kovasında barındırılan JavaScript kaynakları kötü amaçlı kodla değiştirildi.
Sygnia raporuna göre, bu kod özellikle Bybit’in soğuk cüzdanını hedefleyen işlemleri manipüle etmek için tasarlanmıştır.
21 Şubat’ta Bybit, saldırganlar tarafından manipüle edilen SAFE {cüzdan} ‘nın arayüzünü kullanarak bir işlem başlattı ve ek çoklu onay gerektirmeden 400.000’den fazla ETH’yi aktarmalarına izin verdi.
Taktikler
Saldırganlar, orijinal sözleşme uygulamasını kötü amaçlı bir sürümle değiştirmek için akıllı sözleşmelerde bir delege çağrı mekanizması kullandı.
Bu, Süpürme ve Swareerc20 fonksiyonlarını tanıttı ve fonların yetkisiz aktarımını sağladı.
İşlemin ardından, kötü amaçlı kod, muhtemelen izlerini kapsamak amacıyla JavaScript kaynaklarından hızla kaldırıldı.
Saldırı, Demokratik Halk Cumhuriyeti’ne (DPRK) bağlı bir tehdit aktörü olan Tradetraitor veya UNC4899 olarak da bilinen Lazarus Grubuna atfedildi.
Bu ilişkilendirme hem FBI hem de Maniant tarafından doğrulanmıştır.
Bybit Hack, katı düzenlemelere bağlı olan geleneksel bankacılığın aksine, kripto endüstrisinde standart güvenlik standartlarının eksikliğini vurgulamaktadır.
Bu gözetim eksikliği, endüstriyi sofistike saldırılara karşı savunmasız bırakıyor.
Olay ayrıca, bu tür tehditlere karşı sektör genelinde savunmaları artırmak için saldırı vektörlerinin açıklanmasında kapsamlı adli araştırmaların ve şeffaflığın öneminin altını çiziyor.
Bybit davası, saldırganların taktiklerini ortaya çıkarmak ve endüstri savunmalarını geliştirmek için çok önemli olan ayrıntılı adli şeffaflık için bir emsal oluşturur.
Kripto soygunlarının yüksek finansal teşvikleri göz önüne alındığında, güvenlik ekipleri gelişen tehditlere karşı uyarlanabilir savunmalar geliştirmede uyanık ve proaktif kalmalıdır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.