El mes pasado, hackers violaron los sistemas de la plataforma Bybit, lo que llevó al robo de criptomonedas valoradas en $1.4 mil millones. Según un comunicado de Safe Wallet, la brecha fue críticamente influenciada por la explotación de la computadora comprometida de un empleado y el uso indebido de tokens de sesión de AWS. En colaboración con la firma de ciberseguridad Mandiant, Safe Wallet anunció que está reestructurando sus protocolos de seguridad. La Oficina Federal de Investigaciones (FBI) identificó una conexión entre el ataque y el grupo TraderTraitor vinculado a Corea del Norte.
Pasos del Ataque y Proceso de Investigación
El ataque comenzó con el compromiso de una computadora perteneciente a un empleado de Safe Wallet (Developer1) con altos privilegios de acceso. El software malicioso utilizado por los hackers logró eludir con éxito el sistema de autenticación multifactor (MFA). Posteriormente, los atacantes obtuvieron acceso a la billetera caliente de Ethereum de Bybit al apoderarse de tokens de sesión de AWS. Una parte significativa de los fondos robados estaba en forma de Lido Staked Ethereum (stETH).
El análisis técnico de Mandiant indicó que el ataque fue llevado a cabo por un grupo de ciberdelincuencia sofisticado y organizado. Los hallazgos preliminares del FBI revelaron que los métodos de ataque eran similares a las tácticas utilizadas por Corea del Norte para asegurar recursos financieros. La investigación involucra la colaboración con firmas de análisis de blockchain para rastrear los fondos robados.
Medidas de Seguridad Significativas Implementadas
En respuesta al ataque, Safe Wallet transformó sus controles de acceso en un sistema por capas. El acceso de los empleados a sistemas de alto privilegio ahora está restringido con mecanismos de permiso en tiempo real y auditorías estrictas. La duración del uso de tokens de sesión dentro de la infraestructura de AWS se ha acortado, y se requieren pasos de autenticación adicionales para todas las transacciones.
Bybit alteró su política de gestión para billeteras calientes, transfiriendo la mayoría de los fondos a billeteras frías. La plataforma anunció el establecimiento de un sistema de monitoreo basado en IA capaz de detectar actividades anormales en las cuentas de los usuarios. Ambas compañías declararon que realizarán pruebas de seguridad regulares con firmas de auditoría independientes.
