Báo cáo: Lazarus dường như đã xâm nhập máy tính của nhà phát triển Safe trước vụ hack Bybit trị giá 1,5 tỷ USD

Bybit, nạn nhân của vụ tấn công lớn nhất trong một ngày cho đến nay, đã phát hành một báo cáo "điều tra tạm thời" tiết lộ những gì sàn giao dịch biết cho đến nay khi tiếp tục theo dõi số tiền 1,5 tỷ USD bị nhóm hacker Lazarus của Triều Tiên rút cạn vào thứ Sáu. 

Như đã báo cáo trước đó, cuộc tấn công xảy ra trong một hoạt động tương đối bình thường, nơi các chủ sở hữu multi-sig của Bybit phối hợp để chuyển tiền từ ví lạnh sang ví "ấm" bằng cách sử dụng giao diện Safe(Wallet) khi "một tác nhân đe dọa can thiệp và thao túng giao dịch."

"Tác nhân đe dọa đã quản lý để kiểm soát ví lạnh bị ảnh hưởng và chuyển tài sản của nó sang một ví dưới sự kiểm soát của họ," công ty an ninh mạng tiền điện tử Sygnia có trụ sở tại Tel Aviv viết trong một báo cáo. 

Theo cuộc điều tra pháp y của họ về các hệ thống đã bị sửa đổi và các kho lưu trữ web nhằm "xác định nguồn gốc và phạm vi của sự xâm nhập," Sygnia phát hiện rằng Lazarus dường như đã có thể kiểm soát máy tính của một nhà phát triển Safe để tiêm mã độc được thiết kế đặc biệt nhằm vào các người ký của Bybit. 

Điều này xác nhận một số nghiên cứu được thực hiện nhanh chóng bởi cộng đồng bảo mật Ethereum trong vài giờ sau khi khai thác — mặc dù không phải tất cả. Mặc dù có vẻ như Lazarus đã sử dụng một chiến lược ngày càng phổ biến là lây nhiễm các thiết bị ký được sử dụng để di chuyển tiền và "chữ ký mù" để lừa các người ký vô tình tương tác với một địa chỉ không quen thuộc do kẻ tấn công kiểm soát bằng cách che giấu giao diện người dùng, như The Block đã báo cáo trước đó, giờ đây rõ ràng rằng các thiết bị của Bybit không bị liên quan trực tiếp. 

Tuy nhiên, nghiên cứu của Syngia giúp hiểu rõ hơn cách Lazarus có thể kiểm soát hoạt động ký của người giữ multi-sig của Bybit.

Không phải cơ sở hạ tầng của Bybit

"Những phát hiện ban đầu được nêu bật cho thấy cuộc tấn công bắt nguồn từ cơ sở hạ tầng AWS của Safe(Wallet)," Syngia báo cáo. "Cho đến nay, cuộc điều tra pháp y không xác định bất kỳ sự xâm nhập nào vào cơ sở hạ tầng của Bybit."

Những phát hiện cho thấy hoạt động trái phép bắt nguồn từ một cuộc tấn công có mục tiêu vào hệ thống dựa trên đám mây của Safe(Wallet), cụ thể là thùng S3 của Amazon Web Services (AWS), một hệ thống linh hoạt thường được sử dụng để lưu trữ và truy xuất các tệp tĩnh (như script hoặc mã HTML) cho các ứng dụng web. Trình duyệt của các người ký sau đó tải JavaScript bị xâm nhập từ thùng S3 (được lưu trữ cục bộ, như được tìm thấy trong các hiện vật của Chrome được Sygnia xem xét), sau đó thực hiện một giao dịch đã bị thay đổi khi Bybit chuyển tiền của mình. Hơn nữa, Sygnia tìm thấy mã này trên tất cả các máy chủ multi-sig được sử dụng để khởi tạo và ký giao dịch bị xâm nhập

Về phần mình, Safe — một nhóm tách ra từ Gnosis — xác nhận rằng cuộc tấn công "đã được thực hiện thông qua một máy phát triển Safe{Wallet} bị xâm nhập dẫn đến đề xuất một giao dịch độc hại được ngụy trang" nhưng không làm tổn hại đến giao diện người dùng của Safe

, mã nguồn hoặc hợp đồng thông minh.

Những người khác có nguy cơ?

Điều đó nói rằng, không rõ làm thế nào mà máy phát triển đó bị xâm nhập hoặc liệu các người dùng Safe khác có gặp nguy hiểm hay không. Lazarus có thể đã có khả năng sửa đổi các tệp trong bucket AWS S3 của Safe{Wallet} bằng cách xâm phạm thông tin đăng nhập — như đánh cắp khóa truy cập AWS của nhân viên hoặc bên thứ ba thông qua lừa đảo hoặc phần mềm độc hại — hoặc một khai thác tinh vi hơn.

Dù bằng cách nào, một khi đã vào bên trong, kẻ tấn công có thể tải lên hoặc thay đổi các tệp — như chèn mã độc hại cho phép họ kiểm soát một phần quan trọng của hệ thống bảo mật của Bybit.  

"Bản cập nhật từ Safe không tốt lắm. Nó sử dụng ngôn ngữ mơ hồ để lướt qua các vấn đề. Tôi có nhiều câu hỏi hơn là câu trả lời sau khi đọc nó," Changpeng Zhao, cựu CEO của Binance, nói để đáp lại tuyên bố công khai của Safe. "Cái gì có nghĩa là 'xâm phạm máy phát triển Safe {Wallet}'? Làm thế nào họ hack được máy cụ thể này? Có phải là kỹ thuật xã hội, virus, v.v.? làm thế nào mà máy phát triển có quyền truy cập vào 'một tài khoản do Bybit điều hành'?"

CZ cũng đặt câu hỏi về cách mã được chèn có thể ảnh hưởng đến Bybit, và tại sao địa chỉ Ethereum trị giá 1,5 tỷ đô la của nó lại bị nhắm mục tiêu đặc biệt. "Làm thế nào họ lừa được bước xác minh Ledger ở nhiều người ký? Có phải là ký mù không? hay những người ký không xác minh đúng cách?" ông hỏi.

Safe lưu ý rằng họ đã “hoàn toàn xây dựng lại, cấu hình lại toàn bộ cơ sở hạ tầng và xoay vòng tất cả thông tin đăng nhập, đảm bảo rằng vector tấn công đã được loại bỏ hoàn toàn,” mặc dù vẫn bày tỏ sự thận trọng khi ký các giao dịch. 

Sygnia phát hiện mã này được nhắm mục tiêu cao vì nó sẽ kích hoạt “chỉ khi nguồn giao dịch khớp với một trong hai địa chỉ hợp đồng: địa chỉ hợp đồng của Bybit và một địa chỉ hợp đồng không xác định, có khả năng liên quan đến tác nhân đe dọa.” Hơn nữa, có vẻ như Lazarus đã lưu trữ tệp hai ngày trước khi tấn công.

Hai phút sau khi giao dịch độc hại được thực hiện, Lazarus đã tải lên các phiên bản mới, không bị thay đổi của các tài nguyên Javascript vào bucket AWS S3 của Safe(Wallet) để che giấu dấu vết của họ.

Truyền thông công khai

Về phần mình, Bybit đã làm việc chăm chỉ để giữ cho công chúng được thông báo khi họ tìm cách thu hồi quỹ của mình. Trong những ngày sau khi bị khai thác, sàn giao dịch đã nói với người dùng rằng họ sẽ không bị ảnh hưởng vì đã bảo đảm một khoản vay cầu nối để bù đắp thiếu hụt dự trữ. Nó cũng đã khởi động các chương trình thưởng lỗi — cung cấp 10% cho bất kỳ ai có thể thu hồi quỹ và 5% cho các sàn giao dịch và máy trộn làm việc để đóng băng chúng. 

Một số nhà nghiên cứu Ethereum ước tính sàn giao dịch đã có thể thu hồi được hơn 100 triệu đô la cho đến nay, bao gồm 43 triệu mETH.

"Cuộc điều tra vẫn đang tiếp tục để xác nhận thêm các phát hiện," Sygnia viết. 

Cập nhật: Thêm tuyên bố của Changpeng Zhao.