'Cryptodiefstal 1,46 miljard dollar Bybit via besmette computers signers'
De aanvallers die 1,46 miljard dollar aan crypto bij cryptobeurs Bybit wisten te stelen hadden de computers van de signers vermoedelijk met malware geïnfecteerd, zo stelt onderzoeker Dan Guido van securitybedrijf Trail of Bits. De cryptodiefstal wordt de grootste in de geschiedenis genoemd. Ben Zhou, medeoprichter en ceo van Bybit, verklaarde op X dat alle signers een 'gemaskeerde gebruikersinterface' zagen die de juiste url en adres weergaven. Het bericht dat de signers signeerden veranderde echter de logica van het smart contract van de Ethereum cold wallet, waardoor de aanvallers de wallet konden overnemen. Vervolgens werd meer dan 400.000 ether in de cold wallet, met een waarde van 1,46 miljard dollar, naar een 'ongeïdentificeerd adres' overgemaakt, aldus de Bybit-ceo.
Een signer binnen Etherum is een abstractie van een Ethereum-account dat kan worden gebruikt om berichten en transacties te signeren en gesigneerde transacties naar Ethereum en andere netwerken te sturen om 'state changing operations' uit te voeren. Details over de manier waarop de signers een 'gemaskeerde gebruikersinterface' te zien kregen is nog niet bekendgemaakt.
"Op dit moment lijkt het erop dat de aanvallers de systemen van meerdere signers hebben gecompromitteerd, manipuleerden wat de signers in hun wallet-interface zagen, en de vereiste signatures verzamelden terwijl de signers dachten dat ze routinetransacties uitvoerden", aldus Guido. Volgens de onderzoeker lijkt de Bybit-aanval op aanvallen op cryptobeurs WazirX Exchange en cryptoplatform Radiant Capital. "Bij alle aanvallen maakten de aanvallers geen misbruik van kwetsbaarheden in smart contracts of op applicatieniveau. Via geraffineerde malware compromitteerden ze de computers gebruikt om die systemen te beheren, om te manipuleren wat de gebruikers zagen tegenover wat ze daadwerkelijk signeerden."
Guido merkt op dat de aanval op Bybit een 'dramatische verschuiving' laat zien in de manier waarop cryptobeurzen worden gecompromitteerd. "Jarenlang heeft de industrie zich gericht op het hardenen van code en het verbeteren van technische security practices, maar nu de secure development life cycle van het ecosysteem volwassen is geworden, richten aanvallers zich op de mensen en operationele elementen van cryptobeurzen en andere organisaties." Bybit heeft inmiddels een beloning van 140 miljoen dollar uitgeloofd voor de personen die helpen om het volledige gestolen bedrag terug te halen.
Volgens de bekende crypto-onderzoeker ZachXBT is de aanval uitgevoerd door de Lazarus Groep. Deze groep wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven.
Dat zou een hele dikke OEPS zijn waar iedereen wel om kan lachen denk ik.
Dat zou een hele dikke OEPS zijn waar iedereen wel om kan lachen denk ik.
Beetje doordenken - de "willekeurige" ontvanger zal waarschijnlijk niet zo _heel_ hard lachen.
Als er nou één manier is om een bulls-eye op je hoofd te krijgen is het wel zo iets
Voor een wat kleiner voorbeeld, hoe hard ga jij lachen als DHL een doos met 100 kilo coke bij jou aflevert, "verkeerde adres" ?
Dat zou een hele dikke OEPS zijn waar iedereen wel om kan lachen denk ik.
Beetje doordenken - de "willekeurige" ontvanger zal waarschijnlijk niet zo _heel_ hard lachen.
Als er nou één manier is om een bulls-eye op je hoofd te krijgen is het wel zo iets
Voor een wat kleiner voorbeeld, hoe hard ga jij lachen als DHL een doos met 100 kilo coke bij jou aflevert, "verkeerde adres" ?
Dat zou een hele dikke OEPS zijn waar iedereen wel om kan lachen denk ik.
Beetje doordenken - de "willekeurige" ontvanger zal waarschijnlijk niet zo _heel_ hard lachen.
Als er nou één manier is om een bulls-eye op je hoofd te krijgen is het wel zo iets
Voor een wat kleiner voorbeeld, hoe hard ga jij lachen als DHL een doos met 100 kilo coke bij jou aflevert, "verkeerde adres" ?
Als er een miljard op tafel ligt (of 100K coke) is niemand betrouwbaar.
De oorspronkelijke verzender achterhaalt echt wel waar het "per vergissing" naar toe gegaan is.
Die 160M beloning gaat langs banken en de belastingdienst , inclusief de koffieautomaat babbel "dat verhaal van die beloning, die zag ik langskomen" .
De advocaat die mag kiezen tussen paar ton , of paar gram lood weet het ook wel .
Ik denk echt dat 'per vergissing' in beeld komen bij heel foute groepen mensen die heel zwaar onder druk staan om "hun vergissing" te corrigeren op welke manier dan ook een heel onrustige (en onveilige) positie is.
https://nos.nl/artikel/2556827-voor-1-5-miljard-dollar-aan-crypto-gestolen-bij-hack-van-populaire-beurs-bybit
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
