یک هک گسترده به ارزش ۱.۴ میلیارد دلار که از طریق مهندسی اجتماعی، سرقت توکن‌های AWS، دور زدن MFA و دستکاری یک فایل جاوااسکریپت انجام شد، بزرگ‌ترین سرقت ثبت‌شده در تاریخ ارزهای دیجیتال محسوب می‌شود. طبق تحقیقات Mandiant، این حمله توسط گروه هکری کره شمالی Lazarus انجام شده است.

روش نفوذ هکرها

1. هدف قرار دادن یک توسعه‌دهنده: مهاجمان با جعل هویت یک مشارکت‌کننده در پروژه‌های متن‌باز، یکی از توسعه‌دهندگان Safe{Wallet} را فریب داده و او را وادار به نصب یک پروژه مخرب Docker Python کردند.
2. دسترسی به سیستم توسعه‌دهنده: پس از اجرای این پروژه با دسترسی‌های بالای سیستمی، هکرها موفق به سرقت توکن‌های نشست AWS شدند که به آن‌ها امکان دور زدن احراز هویت چندعاملی (MFA) و حفظ دسترسی برای ۲۰ روز را داد.
3. نفوذ به کیف پول سرد ByBit: با کنترل محیط توسعه‌دهنده، مهاجمان یک فایل جاوااسکریپت در سیستم معاملات اتریوم ByBit را جایگزین کردند. این فایل هنگام پردازش تراکنش‌های بزرگ، وجوه را به آدرس‌هایی که توسط هکرهای کره شمالی کنترل می‌شد، ارسال می‌کرد.

واکنش‌های امنیتی و تحقیقات FBI

• تیم Safe{Wallet} اعلام کرد که به دلیل حذف شواهد توسط مهاجمان، برخی جزئیات فنی این حمله نامشخص است.
• تمامی اعتبارنامه‌ها، کلیدها و مخازن سیستمی بازنشانی شده و زیرساخت جدیدی برای افزایش امنیت پیاده‌سازی شده است.
• FBI این حمله را به گروه TraderTraitor نسبت داده که از سال ۲۰۲۲ تحت نظر بوده و در حملات به شرکت‌های بلاکچین نقش داشته است.
• ByBit یک باگ بانتی برای بازیابی وجوه به سرقت رفته اعلام کرده و به افرادی که بتوانند دارایی‌های مسروقه را فریز کنند، ۵٪ از مبلغ بازیابی‌شده را پاداش می‌دهد.