Hack de 2 trilhões de won na Bybit: a era das falhas de segurança operacional chegou

 (blog.trailofbits.com)
3 pontos por GN⁺ 2025-02-23 | 1 comentários | Compartilhar no WhatsApp
  • Em 21 de fevereiro de 2025, a exchange Bybit teve sua cold wallet multisig hackeada, com cerca de US$ 1,5 bilhão em criptomoedas drenados
  • Os hackers comprometeram os dispositivos dos múltiplos signatários e manipularam o que os signatários viam na interface da carteira
  • Os signatários forneceram os dados de assinatura desejados pelos invasores acreditando que estavam realizando uma transação comum
  • Isso sugere que os hacks recentes contra exchanges centralizadas estão mudando de foco, deixando de explorar vulnerabilidades de código para mirar falhas de segurança operacional e humana

Casos recentes de hacks semelhantes

  • Exchange WazirX (julho de 2024): perda de US$ 230 milhões
  • Radiant Capital (outubro de 2024): perda de US$ 50 milhões
  • Exchange Bybit (fevereiro de 2025): perda de US$ 1,5 bilhão

Ligação com grupo hacker da Coreia do Norte

  • Segundo análises da Arkham Intelligence e de ZachXBT, foi confirmado que este ataque está ligado a um grupo de hackers da Coreia do Norte
  • Estão envolvidos grupos de hacking patrocinados pelo Estado sob o Bureau Geral de Reconhecimento (RGB) da Coreia do Norte, como TraderTraitor, Jade Sleet, UNC4899 e Slow Pisces
  • Métodos de ataque dos grupos hackers do RGB
    • Miram administradores de sistemas, desenvolvedores e funcionários da equipe financeira por meio de campanhas de engenharia social
    • Infectam pessoas-chave com golpes de recrutamento personalizados e ataques de phishing
    • Usam malware multiplataforma para infectar Windows, MacOS e várias carteiras de criptomoedas
    • Manipulam a tela de transação vista pelo usuário para induzir a assinatura

Por que os sistemas de segurança existentes estão sendo neutralizados

  • Os invasores continuam aprimorando ferramentas e técnicas por meio de ataques repetidos
  • Motivos pelos quais medidas de segurança comuns têm dificuldade para defender:
    • Organizações com segurança operacional insuficiente ficam expostas a grandes riscos
    • Até sistemas multisig podem ser manipulados
    • São usadas técnicas de ataque difíceis de detectar com soluções tradicionais de segurança, como EDR e firewalls

A nova realidade da segurança em criptomoedas

  • Reforçar apenas a segurança de smart contracts não é mais suficiente
  • Falhas de segurança operacional se tornaram o maior fator de ameaça
  • As empresas precisam construir estratégias de segurança partindo do pressuposto de que o hack é possível

Estratégias de segurança que as empresas precisam adotar obrigatoriamente

  • Isolamento de infraestrutura
    • Os sistemas de assinatura de transações devem ser separados física e logicamente da rede operacional geral
    • Aplicação de hardware e rede dedicados, com controle de acesso rigoroso
  • Defesa em profundidade (Defense-in-Depth)
    • Combinar hardware wallets, multisig e ferramentas de verificação de transações para construir um sistema de segurança composto
    • Uma estratégia de segurança em camadas é essencial, e não uma medida isolada
  • Medidas em nível organizacional
    • Realizar modelagem de ameaças operacionais e técnicas
    • Fazer auditorias e avaliações externas de segurança regularmente
    • Conduzir treinamentos de segurança e simulações de resposta a incidentes periodicamente
    • Estabelecer um plano concreto de resposta a incidentes e testá-lo regularmente

Guia de segurança da Trail of Bits

Conclusão: não dá mais para se defender com a segurança tradicional

  • O incidente da Bybit mostra que a segurança em criptomoedas entrou em uma nova fase

  • Sem reforço da segurança operacional, não é possível evitar grandes hacks

  • A fala contundente da pesquisadora de segurança Tayvano resume bem a situação atual:

    "Uma vez que o dispositivo é infectado, acabou. Se a chave estiver em uma hot wallet ou na AWS, ela será hackeada imediatamente. Mesmo se a chave estiver em uma cold wallet, o hacker só precisará se esforçar um pouco mais. De qualquer forma, no fim ela será hackeada."

Medidas que as empresas devem tomar imediatamente

  • Realizar uma avaliação de riscos de segurança operacional
  • Adotar uma infraestrutura de assinatura Air-Gapped
  • Cooperar com uma equipe de segurança que tenha experiência em responder a grupos hackers patrocinados pelo Estado
  • Estabelecer um plano de resposta a incidentes e testá-lo regularmente

"O próximo hack bilionário é apenas uma questão de tempo; sem preparação, o prejuízo será inevitável"

Leituras relacionadas

1 comentários

 
GN⁺ 2025-02-23
Opiniões do Hacker News

  • Incidente relacionado recente: a Bybit perdeu US$ 1,5 bilhão em um hack

    • Os atacantes roubaram cerca de US$ 1,5 bilhão de uma carteira de armazenamento a frio com múltiplas assinaturas
    • Os atacantes comprometeram os dispositivos de vários signatários e manipularam o que eles viam na interface da carteira, coletando as assinaturas necessárias enquanto os signatários acreditavam estar realizando uma transação rotineira

  • Se os hackers conseguem "manipular o que os signatários veem na interface da carteira" por meio de acesso remoto, então isso não parece armazenamento a frio

  • Três maneiras de ser hackeado em uma interação de múltiplas assinaturas:

    • o contrato inteligente de múltiplas assinaturas é comprometido
    • o computador que faz a assinatura é comprometido
    • a carteira de hardware usada (Ledger, Trezor) é comprometida

  • O contrato de múltiplas assinaturas chamado Gnosis Safe se mostrou muito robusto, e carteiras de hardware são muito difíceis de atacar. A fraqueza atual é o computador

  • As empresas de criptomoedas precisam resolver isso migrando para dispositivos dedicados mais bloqueados para assinar e realmente verificando o que aparece na tela da carteira de hardware

  • O mundo da segurança online é extremamente caótico. Em outras áreas da engenharia, quase nada é explicitamente projetado para resistir a algo feito por um Estado estrangeiro

    • Por exemplo, arranha-céus não são projetados para suportar bombardeio contínuo
    • Carros também não são projetados para resistir a projéteis de tanque
    • Se a Coreia do Norte matasse pessoas ou destruísse pequenos prédios com mísseis, haveria indignação pública e uma resposta militar rápida

  • Porém, online a situação é diferente. A Coreia do Norte pode atacar sistemas à vontade, e a principal reação é: "deveriam ter construído um sistema mais seguro"

    • As pessoas da Bybit poderiam ter sido mais cuidadosas, mas é preciso reconhecer o quão caótico é o ambiente online

  • Esta postagem carece de detalhes sobre como o hack aconteceu

    • Pelo que se fala sobre as ferramentas, me pergunto se é correto entender que enganaram pessoas para baixar e executar software malicioso

  • Os atacantes comprometeram os dispositivos de vários signatários e manipularam o que eles viam na interface da carteira, coletando as assinaturas necessárias enquanto os signatários acreditavam estar realizando uma transação rotineira

    • Gostaria de saber se alguém sabe quantos signatários havia

  • Pergunta séria de alguém que quase não entende de cripto: quem realmente perdeu dinheiro nesse ataque? Muitas pessoas físicas?

  • Lembro que, quando US$ 50 milhões foram roubados 9 anos atrás, a ETH fez um hard fork

  • Pelo que entendo, essa múltipla assinatura falhou porque, como acontece com a maior parte da segurança, todo mundo clicou em "sim" e ninguém se comunicou, investigou ou questionou. Isso anula o propósito da múltipla assinatura

  • Realmente não consigo entender por que não separamos isso em várias carteiras distintas