В ФБР подтвердили, что за недавней атакой на криптовалютную биржу Bybit, в ходе которой было похищено 1,5 млрд долларов, стояли северокорейские хакеры. Правоохранители приписывают эту атаку группировке TraderTraitor (она же Lazarus и APT38).

Заявление ФБР

В своем заявлении представители ФБР призвали операторов RPC-узлов, криптобиржи, мосты, DeFi-сервисы, компании, занимающиеся блокчейн-аналитикой, а также других поставщиков криптовалютных сервисов блокировать любые транзакции, исходящие с адресов, используемых северокорейскими хакерами для отмывания украденных активов.

Также правоохранители опубликовали 51 Ethereum-адрес, на котором хранилась или хранится криптовалюта, украденная с Bybit.

Ранее на этой неделе о связи Lazarus с ограблением Bybit уже сообщали ИБ-эксперты из компаний TRM Labs и Elliptic, а также известный блокчейн-аналитик ZachXBT. По словам последнего, злоумышленники перевели часть украденных средств на Ethereum-адрес, ранее уже фигурировавший в атаках на Phemex, BingX и Poloniex, и связанный с Lazarus.

Анализ атаки

На этой неделе генеральный директор Bybit Бен Чжоу (Ben Zhou) поделился сразу двумя предварительными отчетами об инциденте, подготовленными экспертами из компаний Sygnia и Verichains. Специалисты установили, что атака исходила из инфраструктуры платформы multisig-кошельков Safe{Wallet}.

Также эксперты Sygnia пишут, что обнаружили вредоносный jаvascript-код (нацеленный на холодный multisig-кошелек Bybit), который был загружен из AWS S3 бакета Safe{Wallet}. Код использовался для перенаправления активов Bybit на контролируемый злоумышленниками кошелек и был изменен за два дня до атаки. При этом проведенное после инцидента исследование инфраструктуры биржи не выявило никаких признаков компрометации.

Представители Safe Ecosystem Foundation уже подтвердили выводы аналитиков, рассказав, что атака была совершена через взлом машины одного из разработчиков Safe{Wallet}. Это позволило хакерам получить доступ к аккаунту, управляемому Bybit.

Команда Safe{Wallet} заверяет, что теперь вся инфраструктура полностью перестроена и переконфигурирована, а все учетные данные изменены, чтобы гарантировать, что этот вектор атаки уничтожен и не сможет использоваться в новых кампаниях.