Güvenli {cüzdan}, Bybit’in 1,5 milyar dolarlık kripto soygununa yol açan siber güvenlik olayının, “son derece sofistike, devlet destekli bir saldırı” olduğunu, Hack’in arkasındaki Kuzey Kore tehdit aktörlerinin, soruşturma çabalarını engellemek için kötü niyetli faaliyetin izlerini silmek için adımlar attığını ortaya koydu.
. Çok Özel (MultiSig) PlatformuAdli bir soruşturma yapmak için Google Cloud Mantiant’ta ipi çeken saldırının, Jade Sleet, Pukchong ve UNC4899 olarak da bilinen TraderTraitor adlı bir hack grubunun çalışması olduğunu söyledi.
“Saldırı, güvenli bir {cüzdan} geliştiricinin dizüstü bilgisayarının (‘geliştirici1’) uzlaşmasını ve AWS oturumu belirteçlerinin çok faktörlü kimlik doğrulama (‘MFA’) kontrollerini atlamaya başladı.” söz konusu. Diyerek şöyle devam etti: “Bu geliştirici, görevlerini yerine getirmek için daha yüksek erişime sahip olan çok az personelden biriydi.”
Daha ileri analizler, tehdit aktörlerinin 4 Şubat 2025’te, bireyin sosyal mühendislik saldırısı yoluyla muhtemelen “MC tabanlı Stock-Invest-Simulator-Main” adlı bir Docker projesini indirdiği zaman geliştiricinin Apple MacOS makinesine girdiğini belirledi. Proje “GetStockPrice[.]com “Bu iki gün önce Namecheap’te kayıtlı.
Bu, tüccar aktörlerinin kripto para birimi değişim geliştiricilerini, bir Docker projesinin telgrafla yaklaştıktan sonra sorun gidermesine yardımcı olmaları için kandırdığını gösteren önceki kanıtlardır. Docker Projesi, Plottwist adında kalıcı uzaktan erişimi sağlayan bir sonraki aşamalı bir yük bırakacak şekilde yapılandırılmıştır.
Safe {cüzdan} ‘ın “saldırgan kötü amaçlı yazılımlarını kaldırdı ve soruşturma çabalarını engellemek için Bash tarihini temizledi” dediği gibi, aynı modus operandi’nin en son saldırılarda istihdam edilip edilmeyeceği açık değil.
Nihayetinde, iş istasyonuna dağıtılan kötü amaçlı yazılımların, şirketin Amazon Web Hizmetleri (AWS) ortamının keşiflerini yürütmek ve Radar’ın altında uçmak için geliştiricinin programı ile uyumlu kendi eylemlerini gerçekleştirmek için aktif AWS kullanıcı oturumlarını ele geçirdiği söylenir.
“Saldırganın geliştirici1’in AWS hesabının kullanımı,#kali.2024 dağıtım içeren kullanıcı ajanı dizeleriyle ExpressVPN IP adreslerinden kaynaklandı.” Dedi. “Bu kullanıcı ajanı dizesi, saldırı güvenlik uygulayıcıları için tasarlanmış Kali Linux’un kullanımını gösteriyor.”
Saldırganlar ayrıca açık kaynaklı efsanevi çerçevenin konuşlandırılması ve 19-21 Şubat 2025 arasında iki günlük bir süre için SAFE {cüzdan} web sitesine kötü niyetli JavaScript kodu enjekte ettiği gözlemlenmiştir.
Bybit CEO’su Ben Zhou, güncelleme Bu haftanın başlarında paylaşılan, çalınan fonların% 77’sinden fazlasının izlenebilir kaldığını ve% 20’sinin karanlık olduğunu ve% 3’ünün donduğunu söyledi. Mantle, Paraswap ve Zachxbt dahil 11 partiye varlıkları dondurmasına yardımcı olduğu için kredi verdi. Yaklaşık% 83 (417.348 ETH) Bitcoin’e dönüştürüldü ve 6.954 cüzdana dağıtıldı.
Hack’in ardından 2025, kripto para birimi soygunları için rekor bir yıl için yolda, Web3 projeleri zaten sadece ilk iki ayda şaşırtıcı bir 1.6 milyar dolar kaybediyor, geçen yıl bu kez 200 milyon $ ‘dan 8 kat artış. veri Blockchain güvenlik platformundan immünef.
“Son saldırı, tehdit aktörlerinin ve vurguların gelişen sofistike olmasının altını çiziyor Web3 güvenliğinde kritik güvenlik açıkları“Şirket dedi.”
“İmzaladığınız işlemin amaçlanan sonuçla sonuçlanacağını doğrulamak, Web3’teki en büyük güvenlik zorluklarından biri olmaya devam ediyor ve bu sadece bir kullanıcı ve eğitim sorunu değil, kolektif eylem gerektiren endüstri çapında bir konudur.”
