Ciberataque na Bybit: Qual o futuro da proteção multisig e da segurança de criptografia?

O recente hack à operadora de criptomoedas Bybit destaca que as cold wallets multisig não são seguras se os signatários puderem ser enganados ou comprometidos, enfatizando a crescente sofisticação da cadeia de suprimentos e os ataques de manipulação da interface do usuário. Em julho passado, o sistema Threat Intelligence Blockchain da Check Point Software identificou e publicou um padrão preocupante em que os invasores manipulam transações legítimas por meio da função execTransaction do Safe Protocol.

Em um dos maiores roubos da história dos ativos digitais, os hackers obtiveram acesso a uma carteira off-line da Ethereum e roubaram US$ 1,5 bilhão em ativos digitais, principalmente tokens da Ethereum. O recente incidente com a Bybit marca uma nova fase nos métodos de ataque, apresentando técnicas avançadas para manipular interfaces de usuário.

Em vez de apenas visar falhas de protocolo, os invasores usaram engenharia social inteligente para enganar os usuários, comprometendo uma importante configuração multisig institucional. Essa ação desafia as crenças anteriores sobre a segurança das criptomoedas, mostrando que, apesar dos fortes contratos inteligentes e das proteções multisig, o fator humano segue como o elo mais fraco. Esse incidente destaca como a manipulação da interface do usuário e a engenharia social podem comprometer até mesmo as carteiras mais seguras.

O incidente representa uma evolução significativa desses padrões de ataque, introduzindo técnicas sofisticadas de manipulação da interface do usuário não vistas anteriormente. Em vez de apenas explorar a mecânica do protocolo, os invasores empregaram engenharia social avançada por meio de interfaces manipuladas, o que lhes permitiu comprometer uma configuração multisig institucional significativa.

Em 21 de fevereiro, o Check Point Blockchain Threat Intel System alertou sobre um registro de ataque crítico na rede blockchain Ethereum. O registro indicava que o mecanismo de IA identificou uma alteração de anomalia em uma transação e a categorizou como um ataque crítico. Foi indicado que a carteira fria da ByBit foi hackeada, resultando no roubo de aproximadamente US$ 1,5 bilhão em ativos digitais, principalmente em tokens Ethereum.

O sistema de blockchain Threat Intel da Check Point identificou anteriormente um padrão preocupante em que os invasores exploravam protocolos legítimos de blockchain por meio da função execTransaction do Safe Protocol. Publicada em julho de 2024, a pesquisa forneceu uma análise técnica de como a função opera dentro da estrutura do Safe e documentou casos em que ela foi usada em cadeias de ataque.

A pesquisa se concentrou em entender a mecânica técnica da função execTransaction do protocolo Safe e seu potencial de uso indevido, destacando a importância de entender como os recursos legítimos do protocolo podem ser aproveitados inesperadamente.

Importância do incidente

Esse hack estabelece um novo precedente em segurança de criptografia ao contornar uma cold wallet multisig sem explorar nenhuma vulnerabilidade de contrato inteligente. Em vez disso, ele explorou a confiança humana e o engano da interface do usuário:

– Os multisigs não são mais uma garantia de segurança se os signatários puderem ser comprometidos.

– As cold wallets não são automaticamente seguras se um invasor puder manipular o que o signatário vê.

– Os ataques à cadeia de suprimentos e à manipulação da interface do usuário estão se tornando mais sofisticados.

Recomendações para empresas

Medidas de segurança abrangentes: As empresas que detêm ativos criptográficos significativos devem integrar produtos de segurança tradicionais, como prevenção de ameaças a endpoints e segurança de e-mail, para evitar que o malware infecte máquinas sensíveis e se espalhe por toda a organização.

Prevenção em tempo real: O setor precisa de uma mudança de paradigma das melhorias incrementais de segurança para a prevenção em tempo real. Assim como as redes corporativas e as nuvens usam firewalls para inspecionar cada pacote, a web exige inspeção em tempo real de cada transação para garantir a segurança.

Implementar segurança Zero-Trust: O dispositivo de cada signatário deve ser tratado como potencialmente comprometido. Portanto, deve-se utilizar dispositivos de assinatura dedicados e com air-gap para aprovações multisig. Além disso, é importante exigir que os signatários façam a verificação cruzada dos detalhes da transação por meio de um segundo canal independente.