Een fout in de beveiliging van SafeWallet stelde hackers in staat om $1.4 miljard te stelen bij Bybit. Volgens een onderzoek van SafeWallet en cybersecurityfirma Mandiant konden aanvallers een sessietoken van een ontwikkelaar bemachtigen, waarmee ze de beveiliging van Amazon Web Services (AWS) omzeilden.

Slimme aanval via een geïnfecteerde Mac

SafeWallet verplichtte teamleden om elke 12 uur hun AWS-sessie opnieuw te verifiëren. De hackers probeerden meerdere keren een frauduleus apparaat te registreren voor multifactor-authenticatie (MFA), maar slaagden daar niet in. Toen schakelden ze over op een andere tactiek: ze infecteerden de Mac van een ontwikkelaar met malware en wachtten tot de AWS-sessie actief was. Vervolgens konden ze het gestolen token gebruiken om toegang te krijgen tot de AWS-omgeving en hun aanval te plannen.

Mandiant ontdekte dat de aanval afkomstig was van Noord-Koreaanse staatsacteurs. Ze hadden maar liefst 19 dagen nodig om de hack voor te bereiden en uit te voeren.

SafeWallet trekt lessen uit de aanval

Hoewel de schade enorm was, bleef de kerninfrastructuur van SafeWallet intact. Hun smart contracts werden niet geraakt. Toch heeft het team na de hack extra beveiligingsmaatregelen genomen om herhaling te voorkomen.

FBI waarschuwt: gestolen crypto wordt witgewassen

De FBI heeft inmiddels een waarschuwing uitgegeven: de hackers proberen de gestolen fondsen wit te wassen. Binnen 10 dagen hebben ze 100% van de buit – bijna 500.000 Ether-gerelateerde tokens – verplaatst. Bybit-CEO Ben Zhou meldde op 4 maart dat nog steeds zo’n 77% van de fondsen, ter waarde van $1.07 miljard, on-chain te traceren is. De overige $280 miljoen is inmiddels uit het zicht verdwenen.

Volgens Deddy Lavid, CEO van cybersecuritybedrijf Cyvers, is er nog hoop. Er zijn methodes om bepaalde transacties terug te draaien of fondsen te bevriezen. Maar of dit in de praktijk lukt, blijft onzeker.