Атаку на криптобиржу Bybit осуществили через уязвимость в инфраструктуре кошелька Safe Wallet, а не через системы самой платформы. Такой вывод содержится в предварительном отчете о произошедшем инциденте.
Аналитики Sygnia установили, что злоумышленники внедрили вредоносный JavaScript-код в облачное хранилище AWS S3, использующееся кошельком Safe. Код активировался исключительно при совершении транзакций, связанных с контрактами Bybit и тестовым адресом, что свидетельствует о заранее спланированном характере атаки.
После кражи активов хакеры оперативно заменили модифицированные файлы на исходные, пытаясь скрыть следы вторжения. Однако на устройствах трех подписантов поддельной транзакции удалось обнаружить кэшированные версии файлов с вредоносными изменениями, внесенными 19 февраля. Этот код подменял адрес получателя на этапе подтверждения транзакции. Источник: https://cryptonews.net/ru/news/security/30587266/.
