صرافی Bybit اعلام کرد که هک ۱.۴ میلیارد دلاری آن ناشی از نقص امنیتی در یک سیستم توسعه‌دهنده Safe بوده و زیرساخت‌های خود صرافی دچار مشکل نشده است.

چگونه حمله انجام شد؟
بر اساس تحقیقات Bybit، Sygnia و Verichains، این حمله از طریق AWS S3 Bucket رخ داده که هکرها را قادر ساخت کدهای جاوا اسکریپت مخرب را در وب‌سایت Safe تزریق کرده و تراکنش‌ها را دستکاری کنند.

هکرها از این طریق محتوای تراکنش‌ها را هنگام امضای دیجیتال تغییر داده و دارایی‌ها را به آدرس‌های موردنظر خود منتقل کردند. این حمله مشابه روش‌های گروه هکری لازاروس کره شمالی بود که به استفاده از مهندسی اجتماعی و اکسپلویت‌های صفر-روزه شهرت دارد.

واکنش Safe و تحلیل امنیتی
Safe در پاسخ به این حمله، زیرساخت‌های خود را به‌طور کامل بازسازی و پیکربندی کرده و از کاربران خواسته هنگام امضای تراکنش‌ها محتاط باشند. هیچ نقصی در قراردادهای هوشمند، کدهای فرانت‌اند یا بک‌اند آن شناسایی نشده است.

اما کارشناسان امنیتی معتقدند که این حمله می‌توانست با احراز هویت SRI (Subresource Integrity) پیشگیری شود. جیمسون لوپ از Casa هشدار داد که هیچ توسعه‌دهنده‌ای نباید کلیدهای تولید را روی سیستم شخصی خود داشته باشد.

آیا Bybit هم مقصر است؟
برخی کارشناسان امنیتی، از جمله Hasu، معتقدند که Bybit در برابر این حمله آسیب‌پذیر بود و باید فرایندهای امضای تراکنش‌ها را ایمن‌تر می‌کرد. او تأکید کرد که فرانت‌اند‌ها همیشه باید به‌عنوان بخش آسیب‌پذیر در نظر گرفته شوند.

این حمله نشان می‌دهد که توسعه‌دهندگان DeFi باید امنیت تراکنش‌ها را ارتقا دهند و وابستگی به فرانت‌اند‌های قابل دستکاری را کاهش دهند.