Il cold wallet di Bybit per ETH utilizza un sistema multisig, il che significa che ogni transazione richiede più di una firma per essere approvata. In generale, questo sistema è considerato molto sicuro. Ma gli hacker sono riusciti a indurre le persone responsabili della firma ad approvare una modifica dannosa allo smart contract del portafoglio, utilizzando un attacco di spoofing dell'interfaccia utente o di mascheramento delle transazioni.
Come è avvenuto l'attacco informatico? Passo dopo passo ■
1️⃣ Il cold wallet necessario per trasferire i fondi.
Bybit aveva bisogno di trasferire una parte di ETH dal suo portafoglio freddo al portafoglio caldo (utilizzato per le operazioni quotidiane).
In genere, ciò richiede l'approvazione di più persone tramite un sistema multisig che utilizza la piattaforma Gnosis Safe (ora nota come Safe).
---
2️⃣ Gli hacker hanno creato un'interfaccia falsa per ingannare i firmatari.
Gli hacker sono riusciti a manipolare l'interfaccia utente utilizzata dal team Bybit per approvare le transazioni.
Invece di mostrare loro i dettagli della transazione reale, è stata mostrata loro una transazione falsa che sembrava legittima al 100%.
Anche il link al sito web sembrava ufficiale (@safe da Gnosis Safe), il che lo faceva sembrare del tutto legittimo.
✅ Cosa ha visto il team di Bybit al momento della firma?
Una transazione che mostra l'invio di ETH al portafoglio caldo di Bybit.
Tutte le informazioni sembravano corrette e naturali.
❌ Cosa è realmente accaduto in background a loro insaputa?
Invece di inviare fondi, la transazione modificava il codice dello smart contract del cold wallet.
Questa modifica ha dato all'hacker il controllo completo sul portafoglio, consentendogli di trasferire tutti i fondi sul proprio portafoglio.
---
3️⃣ Il team di Bybit ha firmato la transazione falsa senza saperlo
Poiché l'interfaccia utente era falsa e sembrava legittima, tutti i firmatari credevano di accettare un normale trasferimento di denaro.
Ma in realtà hanno accettato di modificare il codice del portafoglio, consentendo all'hacker di assumerne il pieno controllo.
---
4️⃣ L'hacker è diventato il nuovo proprietario del portafoglio e ha rubato tutti i soldi.
Una volta completate le firme, l'hacker ha il controllo esclusivo del cold wallet.
Trasferi' tutti gli ETH presenti nel suo portafoglio personale.
Bybit non ha più accesso al suo cold wallet.
---
Perché questo hack è così pericoloso?
🔴 Non si tratta di un hack tradizionale, ma di un attacco complesso che si basa su illusioni ottiche e manipolazione psicologica. Ecco i motivi per cui si tratta di uno degli attacchi informatici più pericolosi nella storia delle criptovalute:
1️⃣ Il cold wallet avrebbe dovuto essere completamente sicuro.
In genere, i cold wallet non sono connessi a Internet, il che li rende immuni agli attacchi informatici diretti.
Ma in questo caso, l'hackeraggio è stato effettuato senza rubare le chiavi private, ma semplicemente ingannando il team responsabile della firma delle transazioni.
2️⃣ La multifirma non era sufficiente per la protezione.
Nonostante più persone avessero esaminato la transazione, l'hacker è riuscito a ingannarli tutti.
Ciò significa che avere più firme non è necessariamente sinonimo di sicurezza, se tutti i firmatari vengono ingannati!
3️⃣ L'UI Spoofing è una minaccia nuova e pericolosa.
Questa violazione non è dovuta a un problema tecnico, bensì a una modifica nel modo in cui i dati venivano visualizzati agli utenti.
Ciò dimostra che le persone possono rappresentare il punto debole più grande di qualsiasi sistema di sicurezza.
4️⃣ Non si verifica alcun hacking diretto della rete o fuga di chiavi private.
L'hacker non ha violato i server di Bybit né rubato dati sensibili.
Tutto quello che ha fatto è stato ingannare il team firmatario, convincendolo a trasferire la proprietà del portafoglio a lui.
---
Cosa significa questa svolta per il futuro delle piattaforme di trading?
🎯 Questo attacco dimostra che la sola sicurezza tecnica non è sufficiente e che i sistemi devono essere protetti dall'ingegneria sociale e dalle illusioni ottiche.
🎯 Tutte le piattaforme dovrebbero iniziare ad aggiornare i propri sistemi per affrontare queste nuove minacce.
🎯 Gli utenti dovrebbero essere più consapevoli che anche i sistemi sicuri possono essere hackerati in modi non convenzionali.
💡 Conclusione:
Non si tratta semplicemente di un hackeraggio di una piattaforma di trading, ma di un hackeraggio del nostro modo di concepire la sicurezza digitale.