Хакеры атаковали Bybit и смогли похитить 70% Ethereum-активов криптобиржи

[ALapinskas]

Хакеры сумели подменить интерфейс, который подписанты видели перед подтверждением. На экране отображался правильный адрес получателя и привычный интерфейс системы безопасности сервиса Safe (ранее Gnosis Safe), но на самом деле подпись не просто подтверждала перевод, а давала хакерам полный контроль над кошельком.

Старый-добрый фишинг?

[denis-19]

Тут была более продвинутая схема.

[fndrey357]

Новое - это хорошо завернутое в красную бумажку старое.

[Dpebhuuu]

обычное воровство внутри компании, под соусом "хакеры"

[mixsture]

Скорее это обычная уязвимость плохой архитектуры. Когда подписывается нечто, недоступное для просмотра клиенту - то это нечто легко и незаметно подменяется. Ровно той же проблемой обладает "простая ЭП" у банков (ака "код из смс") - смотря в это смс, абсолютно непонятно, на что оно даст права и к какой операции относится.

P.S. вообще это мрак, когда криптоиндустрия, которая казалось бы должна быть на короткой ноге с криптографией и безопасностью полагается на "привычный интерфейс". "Привычный интерфейс" как фактор аутентификации.

[Javian]

При таких больших процентах вспоминается «Всё уже украдено до нас!». Может и хакеров не было.

[dv0ich]

За взломом криптобиржи Bybit на $1,4 млрд стоит Lazarus Group

Поклонники Free Pascal совсем обезумели, идут на что угодно ради продолжения разработки своей IDE.

[drWhy]

Хорошие новости. Моральные и психологические терзания можно оставить позади - ведь отныне не обязательно обогащаться путём разбоя (затраты - рупь на топор, прибыль - одна старушка - один рупь), а работать можно не снимая белых перчаток, к тому же не вставая с любимого кресла.

Салями - атака, при которой средства списываются мелкими порциями с разных счетов, делая одиночные транзакции незаметными и позволяя набирать большие суммы. Тестирование методики и инструментария проведено, первая реквизиция прошла успешно. Следующая планка - сравняться по состоянию с кем-нибудь, имеющим в активе несколько тысяч спутников. Не напрягаясь.

[kryvichh]

Т.е. 70% Ethereum-активов криптобиржи лежали в одном крипто-кошельке? Вы хотите сказать, что владельцы криптобиржи такие тупые, что нарушили элементарное правило не класть яйца в одну корзину? Интересно, на них подадут в суд за преступную халатность?

[drWhy]

Почему бы и да? "Биржа заверила, что активы клиентов полностью обеспечены один к одному, и, даже если вернуть украденные средства не удастся, убытки будут покрыты за счет платформы."
Кто первый заикнется о подаче иска, получит на пару яиц больше, и вопрос закрыт.

[kryvichh]

Как эта цитата связана с хранением почти всех активов в 1 кошельке? Вот вы храните все свои деньги в 1 банке на 1 счёте, пользуясь только 1 карточкой?

[Aelliari]

У них активы не только в эфире, и не один холодный кошелёк. Но как между ними активы распределены - я не зна

[kryvichh]

Интересно, кто основные клиенты этой биржи. Судя по информации в Википедии, это европейцы, арабы, Россия и СНГ. Потому что в США и Китае не работают (запрещено?).

[Aelliari]

В США очень неудобные требования для получения лицензии. Некоторые конторы не хотят с ними связываться, а некоторые как бы разделяются на две условно-независимые части, одна из которых для США, а вторая для остального мира (например бинанс)

[slbeat]

А ещё интересная мысль, может они сами куда-то вывели на время, за-то заполонили всё инфо пространство - хорошая реклама)

[0ne1vl0d1l11s]

Плюс еще одна теория, что биржу создали при поддержке самих Lazarus, чтобы несколько лет подоить клиентов и вывести крипту под «хакерской атакой»

[hphphp]

Cредства, надеюсь, были застрахованы? А то напоминает " у неработающей пенсионерки снова "украли" 15 миллионов"...