Как взломали Bybit: теперь всё понятно

Киберпреступники нашли оригинальный способ атаки на одну из крупнейших криптовалютных бирж. Согласно предварительному расследованию компании Sygnia, взлом Bybit произошел не через системы самой торговой платформы, а посредством уязвимости в инфраструктуре кошелька Safe. Специалисты обнаружили, что злоумышленники внедрили вредоносный JavaScript-код в ресурсы Safe, хранящиеся в облачном сервисе AWS S3. Особенностью атаки стала её высокая избирательность — вредоносный скрипт активировался только при операциях, связанных с контрактными адресами Bybit и определенным тестовым адресом.

После успешного хищения криптовалюты хакеры предприняли тщательные меры по сокрытию следов взлома. Они оперативно заменили модифицированные файлы на исходные версии, что значительно усложнило процесс расследования инцидента. Тем не менее, специалистам Sygnia удалось обнаружить кэшированные файлы с внесенными 19 февраля изменениями на устройствах трех участников, подписавших поддельную транзакцию. Анализ выявил, что вредоносный код производил манипуляции с данными непосредственно в момент утверждения операции, подменяя адрес получателя средств.

Этот инцидент демонстрирует растущую изощренность атак на криптовалютную инфраструктуру. Вместо прямого взлома торговых платформ киберпреступники переключают внимание на сопутствующие сервисы и инструменты, которые могут иметь менее защищенную архитектуру. Эксперты рекомендуют операторам криптовалютных сервисов усилить мониторинг не только своих основных систем, но и всех интегрированных компонентов, особенно тех, которые имеют доступ к управлению транзакциями или хранятся на сторонних облачных платформах.