מתקפת סייבר חמורה על Bybit: דו"ח ראשוני חושף כיצד האקרים ניצלו JavaScript זדוני לפגיעה בארנק הקר

ב-21 בפברואר 2025 התרחשה מתקפת סייבר מתוחכמת על בורסת הקריפטו Bybit, שבמהלכה נגנבו נכסים דיגיטליים בשווי 1.4 מיליארד דולר, כולל 401,347 מטבעות אתר (Ether). הדו"ח הראשוני של חברת האבטחה Verichains, שפורסם ב-24 בפברואר, חושף את השתלשלות האירועים ואת השיטה שבה השתמשו התוקפים כדי לפרוץ לארנק הקר הרב-חתימות של הבורסה.

המתקפה החלה כבר ב-18 בפברואר, כאשר האקרים פרסמו שני חוזים חכמים זדוניים ברשת האת'ריום. החוזה הראשון, שזוהה בכתובת 0x96221423681A6d52E184D440a8eFCEbB105C7242, הכיל לוגיקה להעברות לא מורשות, ואילו השני, בכתובת 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516, כלל יכולות משיכה מתקדמות.

ב-21 בפברואר, בשעה 14:13:35 UTC, הצליחו התוקפים לשדרג את חוזה הארנק הקר של Bybit באמצעות עסקה מרובת-חתימות שהתבצעה לכאורה בשיתוף שלושה חותמים, כולל מנכ"ל החברה. השדרוג הפנה את הארנק לחוזה הזדוני, ששימש לריקון הנכסים באמצעות פונקציות כמו sweepETH ו-sweepERC20.

החקירה העלתה כי התוקפים ניצלו פירצה ב-JavaScript של אתר app.safe.global, המשמש לניהול ארנקים מרובי-חתימות. קוד זדוני שהוזרק לקבצים התגלה במחשבי החותמים של Bybit, והוא תוכנן לפעול רק כאשר כתובות ספציפיות, כמו זו של ארנק Bybit, היו מעורבות בעסקה. הקוד שינה את נתוני העסקאות כך שכספים הופנו לכתובת התוקף, ולאחר מכן החזיר את הנתונים למצבם המקורי כדי להסתיר את הפעילות.

הדו"ח מציין כי הקבצים הזדוניים הופיעו לראשונה ב-19 בפברואר בשרתי Safe Global, ככל הנראה עקב דליפה של מפתחות גישה ל-AWS S3 או CloudFront. ממצאים אלה נתמכים על ידי גרסאות שנשמרו ב-Wayback Archive. סכום הגניבה כלל גם 8,000 mETH, 90,375 stETH ו-15,000 cmETH, והכספים פוזרו בין מספר ארנקים לאחר ההעברה הראשונית.

Verichains קוראת לחקירה נוספת לאימות הממצאים ולזיהוי השורש המדויק של הפרצה. המקרה מדגיש את הסיכונים הגוברים בעולם הקריפטו ואת הצורך באמצעי אבטחה משופרים, במיוחד עבור ארנקים קרים המשמשים כמטרות אטרקטיביות להאקרים. Bybit טרם פרסמה תגובה רשמית, אך האירוע צפוי לעורר דיון מחודש על אמינות פתרונות האבטחה הקיימים.