Согласно предварительному отчету специалистов Sygnia, хакеры смогли взломать криптовалютную биржу Bybit при помощи уязвимости в инфраструктуре кошелька Safe (Wallet), а не через системы торговой платформы.
В ходе расследования аналитики выяснили, что хакеры внедрили вредоносный JavaScript-код в ресурсы Safe (Wallet), который хранится в облаке AWS S3. Причем скрипт злоумышленников активировался лишь при транзакциях, связанных с контрактными адресами Bybit и неизвестным тестовым адресом, что свидетельствует, что атака была целенаправленная.
Эксперты отметили, что сразу после кражи монет хакеры заменили модифицированные файлы на исходные версии, чтобы сокрыть следы.
На устройствах 3-х участников подписания поддельной транзакции были обнаружены кэшированные файлы с изменениями, которые внесли 19 февраля. Код манипулировал данными в момент утверждения, заменяя адрес получателя.