De aanvallers die 1,46 miljard dollar aan crypto bij cryptobeurs Bybit wisten te stelen hadden de computers van de signers vermoedelijk met malware geïnfecteerd, zo stelt onderzoeker Dan Guido van securitybedrijf Trail of Bits. De cryptodiefstal wordt de grootste in de geschiedenis genoemd. Ben Zhou, medeoprichter en ceo van Bybit, verklaarde op X dat alle signers een 'gemaskeerde gebruikersinterface' zagen die de juiste url en adres weergaven. Het bericht dat de signers signeerden veranderde echter de logica van het smart contract van de Ethereum cold wallet, waardoor de aanvallers de wallet konden overnemen. Vervolgens werd meer dan 400.000 ether in de cold wallet, met een waarde van 1,46 miljard dollar, naar een 'ongeïdentificeerd adres' overgemaakt, aldus de Bybit-ceo.

Een signer binnen Etherum is een abstractie van een Ethereum-account dat kan worden gebruikt om berichten en transacties te signeren en gesigneerde transacties naar Ethereum en andere netwerken te sturen om 'state changing operations' uit te voeren. Details over de manier waarop de signers een 'gemaskeerde gebruikersinterface' te zien kregen is nog niet bekendgemaakt.

"Op dit moment lijkt het erop dat de aanvallers de systemen van meerdere signers hebben gecompromitteerd, manipuleerden wat de signers in hun wallet-interface zagen, en de vereiste signatures verzamelden terwijl de signers dachten dat ze routinetransacties uitvoerden", aldus Guido. Volgens de onderzoeker lijkt de Bybit-aanval op aanvallen op cryptobeurs WazirX Exchange en cryptoplatform Radiant Capital. "Bij alle aanvallen maakten de aanvallers geen misbruik van kwetsbaarheden in smart contracts of op applicatieniveau. Via geraffineerde malware compromitteerden ze de computers gebruikt om die systemen te beheren, om te manipuleren wat de gebruikers zagen tegenover wat ze daadwerkelijk signeerden."

Guido merkt op dat de aanval op Bybit een 'dramatische verschuiving' laat zien in de manier waarop cryptobeurzen worden gecompromitteerd. "Jarenlang heeft de industrie zich gericht op het hardenen van code en het verbeteren van technische security practices, maar nu de secure development life cycle van het ecosysteem volwassen is geworden, richten aanvallers zich op de mensen en operationele elementen van cryptobeurzen en andere organisaties." Bybit heeft inmiddels een beloning van 140 miljoen dollar uitgeloofd voor de personen die helpen om het volledige gestolen bedrag terug te halen.

Volgens de bekende crypto-onderzoeker ZachXBT is de aanval uitgevoerd door de Lazarus Groep. Deze groep wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven.