7 подписчиков

Шаг 2: Создание поддельного интерфейса или манипуляция UI у подписантов

Скорее всего, хакер использовал фишинговую атаку или вмешательство в API/UI, чтобы подписанты видели "корректную" транзакцию. Для этого хакер использует один из следующих способов:

Вариант 1. Фишинговый сайт Safe.eth

Хакер создает копию интерфейса safe.global (например, safe-wallet.io или похожий домен).

Через DNS-спуфинг, зараженные сети или таргетированную атаку подписанты перенаправляются на этот сайт.

Визуально сайт полностью совпадает с оригиналом и показывает "корректный" адрес получателя.

Однако реальная транзакция, которую подписывает пользователь, не совпадает с тем, что показано на UI.

Вариант 2. Атака через вредоносное расширение браузера

Если кто-то из подписантов использовал браузерное расширение (например, MetaMask, Rabby Wallet), хакер мог подменить отображаемую информацию.

Визуально подписанты видят, что средства уходят в "горячий кошелек", но на самом деле они подписывают изменение логики смарт-контракта.

Вариант 3. Эксплойт на уровне API-интеграции

Возможно, Bybit использовал кастомную интеграцию с Safe, и хакер скомпрометировал бэкенд/API, изменяя транзакции перед подписанием.

Шаг 3: Подписанты утверждают вредоносную транзакцию (Feb-21-2025 02:13:35 PM UTC)

Подписанты заходят в Safe.eth и видят корректный адрес получателя.

Они подписывают транзакцию, думая, что переводят средства на "горячий кошелек" 🙁

Однако реальная транзакция содержит изменение логики смарт-контракта холодного кошелька.

Скорее всего была добавлена функция sweepETH (опустошение кошелька).

Использовался механизм Safe Multisig (Gnosis Safe), через который подписанты подтверждали транзакцию execTransaction().

Safe.eth не проверяет бизнес-логику изменений, а только валидирует подписи, поэтому все подписи были действительными.

🔥 На этом этапе кошелек Bybit уже был полностью скомпрометирован.

🔥 Хакер изменил его контрактную логику, дав себе полный контроль.

Шаг 4: Проверка хакером получения контроля над целевым кошельком (Feb-21-2025 02:15:11 PM UTC)

Подсунув подписантам нужную транзакцию хакер проверяет на 90 USDT получение полного доступа.

Шаг 5: Вывод остальных средств (Feb-21-2025 02:16:11 PM UTC)

Хакер, теперь владея логикой контракта, использует добавленную функцию sweepETH и вызывает команду transfer(), которая отправляет все ETH на его адрес 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

Так как контракт уже "перепрошит", Bybit больше не контролирует этот кошелек.

Шаг 6: Запутывание следов

Хакер разделил украденное на 44 адреса по 10К ETH и воспользовался миксерами (Tornado Cash).

🔥 Вывод:

Эта атака – классический пример "social engineering на блокчейне". Хакер не украл приватные ключи, а заставил самих подписантов подписать то, что ему нужно.

Слабым местом в данном случае стала необходимость взаимодействия с графическим интерфейсом.

Также, скопление средств на одном кошельке привело к такому большому взлому.

💰 Bybit объявили награду до 10% за помощь в возврате средств.

📩 Если вы знакомы с организациями или сами являетесь чейн экспертом, напишите им на имейл

bounty_program@bybit.com

Эта ситуация не идёт на пользу крипто индустрии, многие это понимают и поэтому поддержали Bybit.

Будьте бдительны, соблюдайте цифровую безопасность и повышайте свою осведомленность.

Но нужно понимать, что от рисков никто не защищён полностью 🤷‍♂️

2 минуты

23 февраля 2025