Safe {Wallet} ha revelado que el incidente de seguridad cibernética que condujo al Bybit de $ 1.5 mil millones criptografía es un «ataque altamente sofisticado y patrocinado por el estado», afirmando que los actores de amenaza de Corea del Norte detrás del hack tomaron medidas para borrar trazas de la actividad maliciosa en un esfuerzo por obstaculizar los esfuerzos de investigación.
La plataforma de firma múltiple (MultiSIG), que ha acordado a Google Cloud Mandiant para realizar una investigación forense, dijo que el ataque es el trabajo de un grupo de piratería denominado comerciante, que también se conoce como Jade Sleet, Pukchong y UNC4899.
«El ataque implicó el compromiso de una computadora portátil de desarrollador (‘desarrollador1’) y el secuestro de tokens de sesión de AWS para evitar la autenticación multifactor (‘MFA’)», dijo. «Este desarrollador fue uno de los pocos personal que tenía mayor acceso para cumplir con sus funciones».
Un análisis posterior ha determinado que los actores de amenaza irrumpieron en la máquina Apple MacOS del desarrollador el 4 de febrero de 2025, cuando el individuo descargó un proyecto Docker llamado «MC basado-stock-simulator-main» probablemente a través de un ataque de ingeniería social. El proyecto se comunicó con un dominio «GetstockPrice (.) Com» que se registró en Namecheap dos días antes.
Esta es una evidencia previa que indica que los actores de los comerciantes han engañado a los desarrolladores de intercambio de criptomonedas para que ayuden a solucionar un proyecto de Docker después de acercarse a ellos a través de Telegram. El proyecto Docker está configurado para soltar una carga útil de la próxima etapa llamada Plottwist que permite un acceso remoto persistente.
No está claro si se empleó el mismo modus operandi en los últimos ataques, ya que Safe {Wallet} dijo «el atacante eliminó su malware y despejó la historia de Bash en un esfuerzo por frustrar los esfuerzos de investigación».
En última instancia, se dice que el malware implementado en la estación de trabajo se ha utilizado para llevar a cabo el reconocimiento del entorno de servicios web de Amazon (AWS) de la compañía y secuestrar sesiones activas de usuarios de AWS para realizar sus propias acciones que se alinean con el horario del desarrollador en un intento de volar bajo el radar.
«El uso del atacante de la cuenta AWS de Developer1 se originó en las direcciones IP de ExpressVPN con cadenas de agentes de usuario que contienen distribución#kali.2024», dijo. «Esta cadena de agente de usuario indica el uso de Kali Linux que está diseñado para profesionales de seguridad ofensivos».
También se ha observado que los atacantes implementan el marco mítico de código abierto, así como inyectando un código de JavaScript malicioso en el sitio web Safe {Wallet} durante un período de dos días entre el 19 y el 21 de febrero de 2025.
El CEO de Bybit, Ben Zhou, en una actualización compartida a principios de esta semana, dijo que más del 77% de los fondos robados siguen siendo rastreables, y que el 20% se ha oscurecido y el 3% se ha congelado. Acreditó a 11 fiestas, incluidas Mantle, Paraswap y Zachxbt, por ayudarlo a congelar los activos. Alrededor del 83% (417,348 ETH) se ha convertido en Bitcoin, distribuyéndolo en 6,954 billeteras.
A raíz del truco, 2025 está en camino de un año récord para los atracones de criptomonedas, con proyectos de Web3 que ya están perdiendo la asombrosa cantidad de $ 1.6 mil millones en los primeros dos meses solo, un aumento de 8X de los $ 200 millones esta vez el año pasado, según datos de la plataforma de seguridad de Blockchain InmuneFi.
«El reciente ataque subraya la sofisticación en evolución de los actores de amenazas y destaca las vulnerabilidades críticas en la seguridad de Web3», dijo la compañía.
«Verificar que la transacción que está firmando resultará en el resultado previsto seguirá siendo uno de los mayores desafíos de seguridad en Web3, y esto no es solo un problema de usuario y educación, es un problema de toda la industria que exige una acción colectiva».