Чанпэн Чжао: Отчет Safe о взломе Bybit оставляет много вопросов

Отчет Safe о результатах расследования взлома Bybit на $1,46 млрд написан расплывчато и оставляет больше вопросов, чем ответов. Об этом заявил основатель Binance Чанпэн Чжао (CZ).

I usually try not to criticize other industry players, but I still do it once in a while. 😂

This update from Safe is not that great. It uses vague language to brush over the issues. I have more questions than answers after reading it.

1. What does "compromising a Safe… https://t.co/VxywHyzqXb

— CZ 🔶 BNB (@cz_binance) February 26, 2025

«Обычно я стараюсь не критиковать других представителей индустрии, но время от времени все же делаю это», — написал он.

Согласно выводам команды кошелька, Lazarus Group атаковала Bybit с помощью скомпрометированной машины разработчика Safe {Wallet}. Результатом стало предложение замаскированной вредоносной транзакции. Инцидент произошел при переводе средств из холодного хранилища.

«Lazarus — спонсируемая государством северокорейская хакерская группа, которая хорошо известна изощренными атаками социальной инженерии на учетные данные разработчиков, иногда в сочетании с эксплойтами нулевого дня», — отметили авторы отчета.

Экспертиза не выявила каких-либо уязвимостей в смарт-контрактах кошелька или исходном коде фронтенда и сервисов. Команда Safe {Wallet} приняла дополнительные меры по устранению вектора атаки, добавили они.

По мнению CZ, представленные выводы не ответили на ряд важных вопросов:

1. Что означает «взлом машины разработчика» и как он был осуществлен?
2. Как это устройство получило доступ к «управляемому Bybit аккаунту»?
3. Каким образом хакеры обманули этап проверки Ledger у нескольких подписантов?
4. Был ли адрес Bybit с $1,46 млрд самым крупным под управлением Safe и почему злоумышленники не нацелились на других?
5. Какие уроки могут извлечь другие провайдеры мультисиг-кошельков для самостоятельного хранения и пользователи?

Сооснователь стоящей за Safe компании Gnosis Мартин Коппельман представил CZ некоторые разъяснения.

thank @cz_binance
1) The interface was compromised — there was no bug in the interface code but instead they got access to the server via a compromised developer machine.

2) The interface was modified spcifically targeting the Bybit Safe. So when Bybit would do a transaction -…

— koeppelmann.eth 🦉💳 (@koeppelmann) February 26, 2025

В целом он повторил тезисы из отчета в отношении вектора атаки и не смог объяснить методы обмана подписантов. По оценке Коппельмана, хранилище Bybit действительно было одним из крупнейших и, по-видимому, первым подверглось подобной атаке — именно поэтому хакеры пытались скрыть ее следы.

Предприниматель также рассказал о разрабатываемых мерах по укреплению безопасности транзакций.

Касательно третьего вопроса CZ ответ дал технический директор Ledger Шарль Гийме. По его словам, провайдер аппаратных кошельков предоставляет ряд решений для обеспечения безопасности транзакций, но интегрировать их в Safe затруднительно из-за технических особенностей.

A complete answer to (3) here: https://t.co/OU18K7OX5C

— Charles Guillemet (@P3b7_) February 26, 2025

«Для меня самый главный вывод из взлома Bybit заключается в следующем: компании и финансовые учреждения должны использовать решения для хранения данных корпоративного уровня. Размещение $1,46 млрд в бесплатном смарт-контракте Safe{Wallet} с группой подписантов, разработанном для розничных пользователей, должно стать пережитком прошлого», — заявил программист.

Ранее сооснователь Blockstream и шифропанк Адам Бэк пришел к выводу , что причиной взлома биржи стал «неправильный дизайн EVM ».