Согласно предварительному отчету Synia и Verichains о данном инциденте, за два дня до взлома злоумышленник внедрил вредоносный JavaScript-код в ресурсы Safe (Wallet), хранящиеся в облаке AWS S3. Отчет опубликовал сам CEO биржи Bybit Бен Чжоу.
Скрипт активировался только при транзакциях, связанных с контрактными адресами Bybit и неизвестным тестовым адресом, что говорит о целенаправленном характере атаки.
Через несколько минут после кражи активов хакер заменил модифицированные файлы на исходные версии для сокрытия следов.
На устройствах трех участников подписания поддельной транзакции обнаружили кэшированные файлы с изменениями, внесенными 19 февраля. Код манипулировал данными в момент утверждения, подменяя адрес получателя.
Веб-архивы вроде WaybackMachine также зафиксировали внесение изменений в код инфраструктуры Safe (Wallet).
«Результаты криминалистического расследования хостов трех подписантов свидетельствуют о том, что коренной причиной атаки является вредоносный код, происходящий из инфраструктуры Safe (Wallet). В инфраструктуре Bybit не выявлено признаков компрометации. Расследование продолжается для окончательного подтверждения полученных данных», — написано в заключении отчета.
