W jednym z największych ataków hakerskich w historii cyfrowych aktywów cyberprzestępcy uzyskali dostęp do offline'owego portfela Ethereum i skradli kryptowaluty o wartości 1,43 miliarda dolarów. Wydarzenie to zmienia sposób postrzegania metod ataków, ukazując rosnące znaczenie manipulacji interfejsami użytkownika (UI) oraz socjotechniki – uważają eksperci Check Point Software.
Gigantyczna skala ataku
O skali ataku przeprowadzonego przez Lazarus Group świadczą dane z zeszłego roku - w 2024 roku platformy kryptowalutowe straciły łącznie 2,2 miliarda dolarów w wyniku ataków. Wartość tej pojedynczej akcji stanowi zatem ponad 60% wszystkich łupów cyberprzestępców na giełdach krypto w roku ubiegłym.
Jak przebiegł atak?
Atak na Bybit nie polegał na wykorzystaniu klasycznych podatności protokołów, lecz na inteligentnym oszukaniu użytkowników poprzez manipulację interfejsem. W ten sposób cyberprzestępcy przejęli kontrolę nad instytucjonalnym systemem multisig (wielopodpisowym). System Threat Intelligence firmy Check Point wcześniej zidentyfikował niepokojący wzorzec, w którym napastnicy wykorzystywali legalne protokoły blockchainowe za pomocą funkcji execTransaction protokołu Safe. Opublikowane w lipcu 2024 roku badanie zawierało analizę techniczną działania tej funkcji w ramach Safe oraz dokumentowało przypadki, w których była ona wykorzystywana w łańcuchach ataków. Badania koncentrowały się na zrozumieniu mechaniki technicznej funkcji execTransaction protokołu Safe i jej potencjału oraz zrozumienia jak funkcje legalnych protokołów mogą być nieoczekiwanie wykorzystywane.
Precedens w zakresie bezpieczeństwa
Incydent ten ustanawia nowy precedens w zakresie bezpieczeństwa kryptowalut. Pokazuje, że nawet wielopodpisowe portfele zimne (cold wallets) nie są odporne na ataki, jeśli ich sygnatariusze zostaną oszukani. Oznacza to, że sam multisig nie gwarantuje bezpieczeństwa, jeśli osoby autoryzujące transakcje mogą zostać zmanipulowane, a portfele offline nie są odporne, jeśli haker może zmienić to, co widzi użytkownik. Eksperci zauważają, że ataki na łańcuch dostaw oraz manipulacje UI stają się coraz bardziej zaawansowane.
Atak na Bybit zburzył dotychczasowe przekonania o bezpieczeństwie kryptowalut. Nawet przy doskonałych zabezpieczeniach technicznych największym zagrożeniem pozostaje czynnik ludzki. Manipulacja interfejsem użytkownika i socjotechnika mogą skutecznie obejść najnowocześniejsze mechanizmy obronne.
Wg analityków Check Pointa sektor kryptowalutowy musi zmienić swoje podejście do bezpieczeństwa, uwzględniając nie tylko kryptograficzną ochronę, ale także zagrożenia wynikające z błędów ludzkich, zaawansowanego złośliwego oprogramowania i manipulacji UI.
