Check Point ha analizzato l’attacco hacker a Bybit, con la sottrazione di 1,5 miliardi di dollari di asset digitali che apre una nuova fase nella sicurezza delle criptovalute. Si tratta di uno dei più grandi furti nella storia degli asset digitali. I criminali informatici hanno avuto accesso a un portafoglio Ethereum offline rubando asset digitali, principalmente token Ethereum, per 1,5 miliardi di dollari. L’incidente con Bybit segna una nuova fase nei metodi di attacco, con tecniche avanzate di manipolazione delle interfacce utente. Piuttosto che puntare alle falle del protocollo, gli attaccanti hanno utilizzato tecniche di ingegneria sociale per ingannare gli utenti, che hanno portato alla compromissione di un’importante configurazione istituzionale multi-sig.
Attacco hacker a Bybit, come evolve lo sfruttamento dei protocolli
L’incidente rappresenta un’evoluzione di questi modelli di attacco, con l’introduzione di sofisticate tecniche di manipolazione dell’interfaccia utente mai viste prima. Invece di limitarsi a sfruttare i meccanismi del protocollo, gli aggressori hanno utilizzato un’ingegneria sociale avanzata attraverso la manipolazione delle interfacce. Questo ha consentito loro di compromettere un’importante configurazione multi-sig istituzionale. Il 21 febbraio, Check Point Blockchain Threat Intel System ha segnalato un registro di attacco critico sulla rete blockchain Ethereum. Il registro ha indicato che l’AI Engine ha identificato un cambio anomalo in una transazione e l’ha classificata come attacco critico. È stato riportato che il cold wallet ByBit è stato violato, con conseguente furto di circa 1,5 miliardi di dollari di asset digitali, principalmente in token Ethereum.
Il supporto del sistema Threat Intel Blockhain
Il sistema Threat Intel blockchain di Check Point aveva precedentemente identificato un modello preoccupante in cui gli attaccanti sfruttavano protocolli blockchain legittimi attraverso la funzione execTransaction del protocollo Safe. Pubblicata nel luglio 2024, la ricerca ha fornito un’analisi tecnica del funzionamento della funzione all’interno del framework Safe, Inoltre ha documentato i casi in cui è stata utilizzata nelle catene di attacco. La ricerca si è concentrata sulla comprensione dei meccanismi tecnici della funzione execTransaction del protocollo Safe e del suo potenziale di abuso. Evidenziando l’importanza di capire come le funzioni legittime del protocollo possano essere sfruttate inaspettatamente.
Perché è così importante l’attacco hacker a Bybit
Questo attacco stabilisce un nuovo precedente nella sicurezza delle criptovalute, aggirando un cold wallet multi-sig senza sfruttare alcuna vulnerabilità degli smart contract. Ha invece sfruttato la fiducia umana e l’inganno dell’interfaccia utente:
i multisig non sono più una garanzia di sicurezza se i firmatari possono essere compromessi.
I cold wallet non sono automaticamente sicuri se un aggressore può manipolare ciò che un firmatario vede.
Gli attacchi alla supply chain e alla manipolazione dell’interfaccia utente stanno diventando sempre più sofisticati.
Consigli e raccomandazioni per le aziende
Misure di sicurezza complete. Le aziende che detengono ingenti risorse crittografiche devono integrare i prodotti di sicurezza tradizionali. Come, ad esempio, la prevenzione delle minacce agli endpoint e la sicurezza delle e-mail. Questo per evitare che le minacce informatiche infettino le macchine sensibili e si diffondano all’interno dell’organizzazione. Questo è fondamentale per salvaguardarsi da attacchi sofisticati che sfruttano le vulnerabilità umane e la manipolazione dell’interfaccia utente.
Prevenzione in tempo reale. Il settore ha bisogno di un cambiamento di paradigma, passando da miglioramenti incrementali della sicurezza alla prevenzione in tempo reale. Proprio come le reti aziendali e i cloud utilizzano firewall per ispezionare ogni pacchetto, il web3 richiede un’ispezione in tempo reale di ogni transazione per garantire la sicurezza. Questo approccio può prevenire le attività dannose prima che causino danni.
Implementare la sicurezza Zero-Trust
Ogni dispositivo del firmatario deve essere trattato come potenzialmente compromesso.
Utilizzare dispositivi di firma dedicati e air-gapped (ovvero fisicamente separati a livello informatico) per le approvazioni multi-sig.
Richiedere ai firmatari una verifica incrociata dei dettagli della transazione attraverso un secondo canale indipendente.
Conclusioni
L’attacco hacker a Bybit ha infranto le certezze sulla sicurezza delle criptovalute. Nonostante l’adozione di difese tecniche avanzate, l’errore umano continua a rappresentare la principale vulnerabilità. Questo episodio dimostra come strategie sofisticate, come la manipolazione dell’interfaccia utente e le tecniche di ingegneria sociale, possano mettere a rischio anche i portafogli più sicuri.
