A Bybit divulgou um relatório preliminar da investigação sobre o ataque cibernético que resultou na perda de US$ 1,5 bilhão em criptomoedas, confirmando que o Lazarus Group, da Coreia do Norte, está por trás do incidente. O hack da Bybit, considerado o maior da história ocorrido em um único dia, aconteceu quando a exchange transferia fundos de uma carteira fria para uma carteira morna por meio da interface Safe (Wallet).Durante o processo, um agente mal-intencionado conseguiu intervir e manipular a transação.De acordo com a Sygnia, empresa de cibersegurança baseada em Tel Aviv, os hackers comprometeram um desenvolvedor da Safe. Em seguida, inseriram um malware específico para atingir os signatários da Bybit. O código malicioso alterou a transação no momento da assinatura, redirecionando os fundos para uma carteira sob controle dos atacantes.Leia também: Avalanche lança cartão de crédito cripto no BrasilOrigem do hack da BybitA investigação preliminar indica que não houve comprometimento da infraestrutura da Bybit. Em vez disso, o ataque teve origem na infraestrutura da Safe(Wallet), especificamente em um bucket do Amazon Web Services (AWS) S3, utilizado para armazenar e distribuir arquivos estáticos.Os hackers carregaram o malware para o AWS S3 e, quando os signatários da Bybit interagiram com a interface comprometida, houve a alteração da transação.De acordo com o cofundador da SEAL 911, pcaversaccio, o Lazarus Group conseguiu acesso ao ambiente da Safe ao comprometer as credenciais de um desenvolvedor.“Isso permitiu acesso ao AWS e ao S3 bucket. Um código JavaScript malicioso foi carregado e distribuído, alterando o conteúdo da transação durante o processo de assinatura”, explicou.O ataque à Bybit foi altamente direcionado, ativando-se apenas quando o endereço da Bybit era identificado. Dois minutos após a execução da transação fraudulenta, os atacantes substituíram os arquivos comprometidos por versões legítimas a fim de ocultar os rastros da invasão.Reações e medidas de segurançaO cofundador e ex-CEO da Binance, Changpeng Zhao (CZ), questionou a Safe sobre como o ataque foi possível.“O que significa ‘comprometimento de uma máquina de desenvolvedor’? Como esse acesso foi obtido? Foi engenharia social, um vírus? Como um desenvolvedor tinha acesso a uma conta operada pela Bybit?”, questionou CZ.A Safe afirmou que reconstruiu completamente sua infraestrutura e rotacionou todas as credenciais. Dessa forma, conseguiu eliminar o vetor de ataque, mas reforçou a necessidade de cautela ao assinar transações.Fonte: Safe(Wallet)/XA Bybit informou que segue trabalhando para recuperar os fundos. A exchange garantiu que os usuários não serão impactados, pois obteve um empréstimo ponte para cobrir o déficit. Além disso, lançou programas de recompensa por bugs, oferecendo 10% do valor para quem conseguir recuperar os fundos e 5% para exchanges e mixers que ajudarem a congelá-los.Pesquisadores da Ethereum estimam que a Bybit conseguiu recuperar cerca de US$ 100 milhões até o momento, incluindo US$ 43 milhões em mETH.A investigação continua em andamento, buscando confirmação de mais detalhes sobre o ataque e eventuais riscos para outros usuários da Safe(Wallet).Leia também: ETFs de Bitcoin registram saída recorde de US$ 1 bilhão em um único diaO post Hack da Bybit: falha na Safe facilitou roubo de US$ 1,5 bilhão apareceu primeiro em CriptoFacil.