Lazarus Compromete Máquina de Desarrollador de Safe Antes del Hackeo de $1.5 Mil Millones a Bybit

El grupo de hackers Lazarus, patrocinado por el gobierno de Corea del Norte, habría comprometido la máquina de un desarrollador de Safe(Wallet), lo que les permitió inyectar un script altamente dirigido para tomar control de la billetera fría de Bybit, según un informe de la firma de ciberseguridad Sygnia.

Bybit, víctima del mayor hackeo en un solo día en la historia de las criptomonedas, publicó un informe interino donde detalla lo que han descubierto hasta ahora sobre la sustracción de $1.5 mil millones en fondos el pasado viernes.

Detalles del ataque y su ejecución

El ataque ocurrió durante una operación rutinaria de Bybit, en la que los titulares de su billetera multi-sig trasladaban fondos de una billetera fría a una caliente mediante la interfaz de Safe(Wallet). En ese momento, el actor malicioso intervino y manipuló la transacción para redirigir los fondos a su propio monedero.

Según Sygnia, los atacantes lograron suplantar el proceso de firma al infectar la máquina de un desarrollador de Safe(Wallet). La intrusión permitió a Lazarus modificar los archivos almacenados en un AWS S3 bucket de Safe, inyectando un código malicioso que alteró la transacción en el momento de la firma sin que los operadores de Bybit lo notaran.

¿Cómo lograron comprometer la infraestructura?

• Lazarus habría obtenido acceso a la máquina del desarrollador de Safe, que tenía permisos para modificar archivos en AWS.

• Se inyectó un script malicioso en S3 bucket, que fue posteriormente cargado por los navegadores de los firmantes de Bybit.

• El código se activaba únicamente cuando detectaba que la transacción provenía de Bybit o de otra dirección aún no identificada.

• Dos minutos después de la transacción fraudulenta, los atacantes restauraron las versiones originales de los archivos para encubrir sus rastros.

Reacciones y medidas de seguridad

El equipo de Safe(Wallet) confirmó que el ataque se logró a través de la máquina comprometida de un desarrollador, pero aseguraron que su código fuente, frontend y contratos inteligentes no fueron afectados. Safe ha reconstruido su infraestructura y rotado credenciales para eliminar la vulnerabilidad.

El ex CEO de Binance, Changpeng Zhao (CZ), criticó la falta de claridad en la respuesta de Safe: "¿Cómo exactamente comprometieron esta máquina? ¿Fue phishing, malware? ¿Cómo tuvo acceso un desarrollador a una cuenta operada por Bybit?".

Desde la comunidad de seguridad en Ethereum, Odysseas, fundador del protocolo Phylax, explicó que Lazarus aprovechó una oportunidad única cuando detectaron una transacción de gran volumen: "Podrían haber atacado a cualquiera, pero esperaron una transacción altamente rentable, como la transferencia de fondos de Bybit de una billetera fría a una caliente".

Recuperación de fondos y esfuerzos de mitigación

Bybit ha asegurado a sus usuarios que no se verán afectados, ya que la empresa ha conseguido un préstamo puente para cubrir el déficit en sus reservas. Además, han lanzado un programa de recompensas, ofreciendo 10% de los fondos recuperados a quienes ayuden a rastrear los activos y 5% a exchanges y mezcladores que congelen los fondos robados.

Algunos investigadores de Ethereum estiman que se han recuperado más de $100 millones hasta ahora, incluyendo $43 millones en mETH.

El hackeo a Bybit resalta la creciente sofisticación de los ataques de Lazarus y la necesidad de reforzar la seguridad en la industria cripto. Aunque la investigación sigue en curso, este caso pone en evidencia cómo las vulnerabilidades en terceros proveedores pueden poner en riesgo incluso a las plataformas mejor protegidas.

Descargo de responsabilidad

Este artículo de noticias tiene como objetivo ofrecer información precisa y actualizada. Sin embargo, no se debe considerar como asesoramiento financiero, legal o profesional. Se recomienda a los lectores verificar la información de manera independiente y consultar con expertos antes de tomar cualquier decisión basada en el contenido proporcionado.