Advertentie
Vrijdag hebben hackers een Ethereum-wallet gehackt en 1,5 miljard dollar gestolen van crytobeurs Bybit. Deze aanval kan wel eens een grote verandering aanduiden in crypto-cybercriminaliteit: criminelen manipuleren nu menselijke kwetsbaarheden via social engineering en UI-manipulatie, in plaats van codezwakheden uit te buiten, zo blijkt uit onderzoek van Check Point.
De Bybit-aanval laat een groeiende trend zien in crypto-gerichte aanvallen. Al in juli 2024 identificeerde het threat intelligence-systeem van Check Point een patroon waarbij hackers de execTransaction-functie van het Safe-protocol misbruikten om geavanceerde aanvallen uit te voeren. De Bybit-inbreuk bevestigt nu dat deze tactieken zich ontwikkelen tot een serieuze bedreiging voor de hele sector.
Oded Vanunu, Head of Products Vulnerability Research bij Check Point Research, reageert: "De aanval op Bybit is niet verrassend: afgelopen juli ontdekten we de exacte manipulatietechniek die aanvallers gebruikten bij deze recordbrekende overval. De meest alarmerende conclusie is dat zelfs cold wallets, ooit beschouwd als de veiligste optie, nu kwetsbaar zijn. Deze aanval bewijst dat een preventiegerichte aanpak, waarbij elke stap van een transactie wordt beveiligd, de enige manier is om cybercriminelen ervan te weerhouden in de toekomst soortgelijke aanvallen met een grote impact uit te voeren. De crypto-industrie moet realtime transactiebewaking en gedragsanalyse gebruiken om fraude te detecteren voordat geld verloren gaat."
Hoe de aanval zich ontvouwde
De hackers gebruikten nep-UI-elementen om multisig cold wallet-ondertekenaars te misleiden om frauduleuze transacties goed te keuren. Belangrijke tactieken omvatten:
- Social engineering: Bybit-medewerkers met ondertekeningsbevoegdheid identificeren.
- UI-manipulatie: nep-interfaces implementeren om kwaadaardige transacties te maskeren.
- Logische exploitatie: misleidende prompts gebruiken om de beveiliging te omzeilen.
Aanbevelingen voor bedrijven, volgens Check Point
- Uitgebreide beveiligingsmaatregelen: Bedrijven met aanzienlijke cryptoactiva moeten traditionele beveiligingsproducten integreren, zoals endpoint threat prevention en e-mailbeveiliging, om te voorkomen dat malware gevoelige machines infecteert en zich door de organisatie verspreidt. Dit is cruciaal om te beschermen tegen geavanceerde aanvallen die menselijke kwetsbaarheden en manipulatie van de gebruikersinterface uitbuiten.
- Real-Time Prevention: De industrie heeft een paradigmaverschuiving nodig van incrementele beveiligingsverbeteringen naar real-time preventie. Net zoals bedrijfsnetwerken en clouds firewalls gebruiken om elk pakket te inspecteren, vereist web3 real-time inspectie van elke transactie om de beveiliging te garanderen. Deze aanpak kan kwaadaardige activiteiten voorkomen voordat ze schade veroorzaken.
- Implementeer Zero-Trust-beveiliging:
- Het apparaat van elke ondertekenaar moet worden behandeld als potentieel gecompromitteerd.
- Gebruik speciale, air-gapped ondertekeningsapparaten voor multisig-goedkeuringen.|
- Vereist dat ondertekenaars transactiegegevens kruislings verifiëren via een tweede onafhankelijk kanaal