Kısa bir süre önce büyük bir güvenlik ihlaline uğrayan kripto para borsası Bybit, olayla ilgili ayrıntılı bir inceleme raporu yayınladı. Siber güvenlik firmaları Sygnia ve Verichains tarafından derlenen bulgular, saldırının Bybit’in kendi sistemlerinden ziyade Safe{Wallet}’ın altyapısının güvenliğinin ihlal edilmesinden kaynaklandığını ortaya koyuyor.
Yetkisiz faaliyet ilk olarak 21 Şubat 2025 tarihinde, Bybit’in Ethereum (ETH) soğuk cüzdanlarından birini içeren şüpheli işlemleri fark etmesiyle tespit edildi. Rapora göre saldırı, Safe{Wallet} aracılığıyla soğuk bir cüzdandan sıcak bir cüzdana yapılan multisig işlemi sırasında meydana geldi. Bir kötü niyetli kişi, işleme müdahale edebilmiş, işlemi manipüle edebildi ve soğuk cüzdanın varlıklarının kontrolünü ele geçirdi; bu varlıklar daha sonra kendi kontrolleri altındaki harici bir cüzdana aktarıldı.
Bybit tarafından saldırıyı araştırmak üzere görevlendirilen Sygnia, aşağıdaki kilit noktaları ortaya çıkardı:
- Safe{Wallet}’ın AWS S3 bucket’ında barındırılan bir kaynağa kötü amaçlı JavaScript kodu enjekte edildi.
- Değişiklik zaman damgaları ve kamuya açık web geçmişi arşivleri, kötü amaçlı kodun doğrudan Safe{Wallet}’ın AWS S3 altyapısına eklendiğini gösteriyor.
- JavaScript enjeksiyonu, imzalama işlemi sırasında işlem verilerini manipüle etmek ve işlem ayrıntılarını tespit edilmeden değiştirmek üzere tasarlandı.
- Kod, yalnızca işlemler Bybit’in sözleşme adresinden ya da muhtemelen saldırgan tarafından kontrol edilen tanımlanamayan başka bir sözleşme adresinden kaynaklandığında çalışan bir aktivasyon tetikleyicisi içeriyordu.
- Saldırının gerçekleştirilmesinden ve kamuya açıklanmasından sadece iki dakika sonra, ele geçirilen JavaScript dosyalarının yeni sürümleri Safe{Wallet}’ın AWS S3 bucket’ına yüklendi ve kötü amaçlı kod kaldırıldı.
- Bybit, kendi altyapısının güvenliğinin ihlal edilmediğini, ancak saldırının üçüncü taraf cüzdan çözümlerindeki güvenlik açıklarının altını çizdiğini ifade etti.
*Yatırım tavsiyesi değildir.
