Recentemente, a corretora de criptomoedas Bybit foi alvo de um ataque que resultou no roubo de cerca de 1,5 mil milhões de dólares em ativos digitais, maioritariamente tokens Ethereum. O incidente é descrito por especialistas da área como o maior roubo de criptomoedas até à data.

Como apontam os investigadores da Check Point Research, o ataque à Bybit não é um caso isolado, refletindo uma tendência crescente de ataques que têm como alvo o mundo das criptomoedas. Os investigadores realçam que o incidente marca uma nova fase nos métodos de ataque, com técnicas avançadas para manipular as interfaces de utilizador (UI, na sigla em inglês).

De acordo com Ben Zhou, CEO da Bybit, as criptomoedas foram roubadas de uma “cold wallet” usada para tokens Ethereum. As “cold wallets” são carteiras digitais que não estão ligadas à Internet e, segundo especialistas, podem reduzir o risco de roubos.

Como explicam os investigadores da Check Point Research, no dia 21 de fevereiro, os sistemas de análise da empresa de cibersegurança detectaram um ataque crítico à rede da blockchain Ethereum. Uma análise permitiu confirmar que o alvo do ataque era uma “cold wallet” da Bybit.

Check Point Research | Ataque à Bybit
Check Point Research | Ataque à Bybit Anatomia do ataque à Bybit créditos: Check Point Research

Em julho do ano passado, o sistema de inteligência de ameaças da Check Point identificou um padrão em que os hackers exploravam a função execTransaction do protocolo Safe para realizar ataques sofisticados. Os investigadores realçam que o ataque à Bybit confirma que estas táticas estão a evoluir para uma ameaça séria em toda a indústria.

Em vez de aproveitarem falhas nos smart contracts, os responsáveis pelo ataque à Bybit recorreram a táticas de engenharia social, criando elementos falsos na UI para enganar enganar os signatários de “Cold Wallets” multisig (de assinatura digital múltipla), levando-os a aprovar transações fraudulentas

Entre os métodos dos atacantes destacam-se o uso de táticas de engenharia social para identificar funcionários da Bybit com autoridade de assinatura; de manipulação de UI para “mascarar” transações maliciosas; e de exploração lógica, recorrendo a prompts enganadores para contornar as medidas de segurança.

Segundo a Check Point Research, o ataque à Bybit demonstra que as “cold wallets” não são tão seguras quanto se pensava, uma vez que podem ser comprometidas através da manipulação da UI.

“O ataque à Bybit não é surpreendente: em julho passado, descobrimos a técnica de manipulação exata que os atacantes usaram neste assalto recorde”, afirma Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point Research, em comunicado.

“A conclusão mais alarmante é que mesmo as Cold Wallets, outrora consideradas a opção mais segura, são agora vulneráveis”, indica o responsável.

Os investigadores apelam também ao reforço das medidas de segurança na indústria das criptomoedas, que deverá monitorizar as transações em tempo real e fazer a análise comportamental para detetar fraudes antes que os fundos sejam perdidos.

“Este ataque prova que uma abordagem de prevenção em primeiro lugar, protegendo cada passo de uma transação, é a única forma de impedir que os cibercriminosos levem a cabo ataques semelhantes de grande impacto no futuro”, realça Oded Vanunu.