Alla fine di febbraio, alcuni hacker hanno violato Bybit, una delle più grandi borse di criptovalute del mondo, con sede a Dubai, rubando circa 1,5 miliardi di dollari di Ethereum.
Si è trattato della più grande violazione nell’ambito delle criptovalute.
Nello specifico, viene costruito un software open-source che le aziende come Bybit utilizzano per creare portafogli online in cui conservare le proprie criptovalute. I portafogli sono simili a caveau bancari che necessitano di più chiavi per essere sbloccati.
Bybit ha utilizzato Safe per salvaguardare almeno 1,5 miliardi di dollari di Ethereum, la seconda criptovaluta al mondo per capitalizzazione di mercato.
Ogni volta che un dipendente di Bybit voleva spostare una quota di Ethereum in un’altra sede, accedeva al sito web di Safe. Poiché il software di Safe è open-source, la società e Bybit non avevano alcun rapporto commerciale formale, ha dichiarato a Fortune Stefan George, uno degli sviluppatori originali della tecnologia di Safe.
Download di malware
Mentre Bybit depositava Ethereum nel caveau digitale di Safe, il gruppo di hacker d’élite della Corea del Nord era in agguato, osservando le loro mosse.
“Hanno preparato questo colpo per un periodo di tempo molto lungo, sicuramente più di un mese… probabilmente molti mesi”, ha detto George.
Poi sono entrati in azione. Il team Safe conta circa 30 ingegneri, e una manciata di loro sono “sys admins”, ovvero amministratori di sistema. Gli amministratori di sistema sono sviluppatori senior in grado di aggiornare il sito web e il codice di Safe.
Secondo George, gli hacker nordcoreani hanno preso di mira un amministratore, probabilmente attraverso un attacco di phishing, inducendolo a scaricare un’applicazione o a divulgare informazioni personali.
L’FBI ha chiamato la tattica utilizzata dagli hacker nordcoreani “TraderTraitor”.
George non ha voluto rivelare ulteriori dettagli sul modo in cui un dipendente di Safe è stato ingannato, facendo riferimento a un’indagine in corso.
Aggiornamento del sito
Dopo aver ingannato l’amministratore del sistema Safe, gli hacker hanno usato il loro accesso ai controlli personali per scaricare malware sul computer dello sviluppatore, che ha dato alla Corea del Nord il controllo sul computer dell’amministratore, ha detto George.
Da lì, gli hacker hanno aggiornato il sito web di Safe col frammento di un codice progettato esclusivamente per Bybit, come un virus che si attiva quando entra in contatto con l’host giusto.
Alla fine di febbraio, il codice dormiente ha rilevato che un dipendente di Bybit aveva aperto il suo conto Safe e stava per autorizzare una transazione. All’ultimo momento, gli hacker hanno inserito un nuovo ordine per prosciugare le scorte di criptovalute di Bybit.
Il dipendente ha inconsapevolmente autorizzato l’ordine e la Corea del Nord si è trovata improvvisamente con 1,5 miliardi di dollari in criptovalute. Secondo un’indagine di sicurezza commissionata da Bybit, due minuti dopo il furto, il sito web di Safe è stato aggiornato per nascondere le tracce degli hacker e cancellare il frammento di codice.
L’indagine su come la Corea del Nord abbia compromesso il computer di uno sviluppatore di Safe è ancora in corso, ha dichiarato George a Fortune.
Goldberg, amministratore delegato di Chaos Labs, ha dichiarato a Fortune che la violazione di Bybit è indicativa di un problema più ampio nel software.
La stragrande maggioranza dei programmatori utilizza codici sviluppati da altri, che fanno riferimento ad applicazioni costruite da un altro gruppo di sviluppatori. “Stiamo costruendo su un castello di carte, si sa cosa si costruisce”, ha detto. “Non si sa cosa succede nel ‘sottosuolo’”.
Questo articolo è stato originariamente pubblicato su Fortune.com
