Lazarus tampaknya meretas mesin pengembang Safe menjelang peretasan Bybit senilai $1,5 miliar: laporan

Bybit, korban dari peretasan satu hari terbesar hingga saat ini, telah merilis laporan "penyelidikan sementara" yang mengungkapkan apa yang diketahui bursa sejauh ini saat mereka terus melacak dana senilai $1,5 miliar yang dikuras oleh kelompok peretas Korea Utara, Lazarus Group, pada hari Jumat. 

Seperti yang dilaporkan sebelumnya, serangan terjadi selama operasi yang relatif jinak, di mana pemegang multi-sig Bybit berkoordinasi untuk memutar dana dari dompet dingin ke "dompet hangat" menggunakan antarmuka Safe(Wallet) ketika "aktor ancaman campur tangan dan memanipulasi transaksi."

“Aktor ancaman berhasil mengendalikan dompet dingin yang terpengaruh dan mentransfer kepemilikannya ke dompet di bawah kendali mereka,” tulis firma keamanan siber kripto yang berbasis di Tel Aviv, Sygnia, dalam sebuah laporan. 

Menurut investigasi forensik terhadap sistem yang dimodifikasi dan arsip web yang dimaksudkan “untuk mengidentifikasi sumber dan cakupan kompromi,” Sygnia menemukan bahwa Lazarus tampaknya dapat mengendalikan komputer pengembang Safe untuk menyuntikkan malware yang dirancang khusus untuk menargetkan penandatangan Bybit. 

Ini mengonfirmasi beberapa penelitian yang dilakukan dengan cepat oleh komunitas keamanan Ethereum beberapa jam setelah eksploitasi — meskipun tidak semuanya. Meskipun tampaknya Lazarus menggunakan strategi yang semakin populer untuk menginfeksi perangkat penandatangan yang digunakan untuk memindahkan dana dan “tanda tangan buta” untuk menipu penandatangan agar tanpa sadar berinteraksi dengan alamat yang tidak dikenal yang dikendalikan oleh penyerang dengan menyamarkan antarmuka pengguna, seperti yang dilaporkan The Block sebelumnya, sekarang lebih jelas bahwa perangkat Bybit tidak secara langsung terlibat. 

Namun, penelitian Syngia membantu untuk lebih memahami bagaimana Lazarus dapat mengendalikan operasi penandatangan pemegang multi-sig Bybit.

Bukan infrastruktur Bybit

“Temuan awal yang disorot menunjukkan serangan berasal dari infrastruktur AWS Safe(Wallet),” lapor Syngia. “Sejauh ini, investigasi forensik tidak mengidentifikasi kompromi apa pun terhadap infrastruktur Bybit.”

Temuan tersebut menunjukkan bahwa aktivitas tidak sah berasal dari serangan yang ditargetkan pada sistem berbasis cloud Safe(Wallet), yaitu bucket Amazon Web Services (AWS) S3-nya, sistem fleksibel yang biasanya digunakan untuk menyimpan dan mengambil file statis (seperti skrip atau kode HTML) untuk aplikasi web. Browser penandatangan kemudian memuat JavaScript yang dikompromikan dari bucket S3 (di-cache secara lokal, seperti yang ditemukan dalam artefak Chrome yang ditinjau oleh Sygnia), yang kemudian mengeksekusi transaksi yang diubah ketika Bybit memindahkan dananya. Selain itu, Sygnia menemukan kode ini di semua host multi-sig yang digunakan untuk memulai dan menandatangani transaksi yang dikompromikan

Untuk bagiannya, Safe — tim yang dipisahkan dari Gnosis — mengonfirmasi bahwa serangan “dicapai melalui mesin pengembang Safe{Wallet} yang dikompromikan yang mengakibatkan proposal transaksi berbahaya yang disamarkan” tetapi tidak kompromi

se Safe’s frontend, source code atau smart contracts.

Apakah yang lain berisiko?

Namun demikian, tidak jelas bagaimana mesin pengembang tersebut dibobol atau apakah pengguna Safe lainnya berisiko. Lazarus bisa saja mendapatkan kemampuan untuk memodifikasi file di bucket AWS S3 Safe{Wallet} dengan cara mengkompromikan kredensial — seperti mencuri kunci akses AWS milik karyawan atau pihak ketiga melalui phishing atau malware — atau melalui eksploitasi yang lebih canggih.

Bagaimanapun, setelah masuk, penyerang dapat mengunggah atau mengubah file — seperti menyuntikkan kode berbahaya yang memberi mereka kendali atas bagian penting dari sistem keamanan Bybit.  

"Pembaruan dari Safe ini tidak begitu bagus. Menggunakan bahasa yang samar untuk menutupi masalah. Saya memiliki lebih banyak pertanyaan daripada jawaban setelah membacanya," kata Changpeng Zhao, mantan CEO Binance, menanggapi pernyataan publik Safe. "Apa arti 'mengkompromikan mesin pengembang Safe {Wallet}'? Bagaimana mereka meretas mesin ini? Apakah itu rekayasa sosial, virus, dll? bagaimana mesin pengembang memiliki akses ke 'akun yang dioperasikan oleh Bybit'?"

CZ juga mengajukan pertanyaan tentang bagaimana kode yang disuntikkan dapat mempengaruhi Bybit, dan mengapa alamat Ethereum senilai $1,5 miliar menjadi target khusus. "Bagaimana mereka bisa mengelabui langkah verifikasi Ledger di beberapa penandatangan? Apakah itu penandatanganan buta? atau apakah para penandatangan tidak memverifikasi dengan benar?" tanyanya.

Safe mencatat bahwa mereka telah “sepenuhnya membangun kembali, mengkonfigurasi ulang semua infrastruktur, dan memutar semua kredensial, memastikan vektor serangan sepenuhnya dihilangkan,” meskipun masih menyatakan kehati-hatian saat menandatangani transaksi. 

Sygnia menemukan bahwa kode tersebut sangat ditargetkan karena akan aktif “hanya ketika sumber transaksi cocok dengan salah satu dari dua alamat kontrak: alamat kontrak Bybit dan alamat kontrak yang tidak teridentifikasi, kemungkinan terkait dengan aktor ancaman.” Selain itu, tampaknya Lazarus menyimpan file tersebut dua hari sebelum serangan.

Dua menit setelah transaksi berbahaya dieksekusi, Lazarus mengunggah versi baru yang tidak tercemar dari sumber daya Javascript ke bucket AWS S3 Safe(Wallet) untuk menutupi jejak mereka.

Komunikasi publik

Di pihaknya, Bybit telah bekerja keras untuk menjaga agar publik tetap terinformasi saat mereka berusaha untuk mendapatkan kembali dana mereka. Dalam beberapa hari setelah eksploitasi, bursa memberi tahu pengguna bahwa mereka tidak akan terpengaruh karena telah mengamankan pinjaman jembatan untuk menutup kekurangan cadangan. Mereka juga meluncurkan program bug bounty — menawarkan 10% kepada siapa saja yang dapat mendapatkan kembali dana tersebut dan 5% kepada bursa dan mixer yang bekerja untuk membekukannya. 

Beberapa peneliti Ethereum memperkirakan bahwa bursa telah berhasil memulihkan lebih dari $100 juta sejauh ini, termasuk $43 juta mETH.

"Penyelidikan masih berlangsung untuk lebih mengkonfirmasi temuan," tulis Sygnia. 

Pembaruan: Menambahkan pernyataan oleh Changpeng Zhao.