Bybit, geçtiğimiz hafta yaşanan 1,5 milyar dolarlık hack saldırısının ardından yaptığı adli incelemede, güvenlik ihlalinin kendi sistemlerinden değil, Safe cüzdan altyapısından kaynaklandığını açıkladı.
Kripto para borsası Bybit’in yayımladığı adli inceleme raporunda, “Safe geliştiricilerinden birinin kimlik bilgilerinin ele geçirilmesi sonucunda Lazarus hacker grubunun Safe cüzdanına yetkisiz erişim sağladığı ve Bybit personelini kötü amaçlı işlemi imzalamaya yönlendirdiği” belirtildi.
Bybit’ten Detaylı İnceleme Raporu
Bybit, saldırının gerçekleşme sürecine dair teknik detaylar da paylaştı. Rapora göre, saldırganlar Safe cüzdan altyapısına sızmak için sosyal mühendislik yöntemleri kullandı. Bu yöntemle bir Safe geliştiricisinin kimlik bilgilerine ulaşıldı ve zararlı yazılım aracılığıyla Bybit’e bağlı hesaplara erişim sağlandı.
Raporda ayrıca, saldırının başlangıcında AWS S3 veya CloudFront hesaplarının ele geçirilmiş olabileceği üzerinde duruldu. Bybit, “cachedmalicious JavaScript payload”un Wayback Archive üzerinde bulunduğunu belirtti ve bu durumun SafeGlobal’in API anahtarlarının veya CloudFront yapılandırmalarının sızdırılmış olabileceğini öne sürdü.
FBI da saldırının arkasında Kuzey Koreli Lazarus grubunun olduğunu doğruladı. Yetkililer, sanal varlık hizmet sağlayıcılarını hackerlarla ilişkili cüzdanlardan gelen işlemleri engellemeleri yönünde uyardı.
