{"id":29507,"date":"2025-03-19T10:34:30","date_gmt":"2025-03-19T08:34:30","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29507"},"modified":"2025-03-19T11:18:51","modified_gmt":"2025-03-19T09:18:51","slug":"bybit-hack-lessons-how-to-do-self-custody-properly","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/bybit-hack-lessons-how-to-do-self-custody-properly\/29507\/","title":{"rendered":"Lezioni di hacking di Bybit: come conservare le criptovalute in modo sicuro"},"content":{"rendered":"

Il 21 febbraio \u00e8 stato un giorno buio per il mercato delle criptovalute, che ha subito il pi\u00f9 grande furto della storia. Gli autori di questi attacchi hanno saccheggiato circa 1,5 miliardi di dollari da Bybit, la seconda pi\u00f9 grande piattaforma di criptovalute al mondo, e alcuni esperti hanno definito questo come il pi\u00f9 grande furto di sempre. Sebbene n\u00e9 questa perdita n\u00e9 il prelievo di altri 5 miliardi di dollari da parte di investitori in preda al panico siano stati fatali per Bybit, questo evento evidenzia i difetti fondamentali del moderno ecosistema delle criptovalute e offre alcuni preziosi insegnamenti agli utenti che vogliono salvaguardare le proprie criptovalute.<\/p>\n

Come \u00e8 stato derubato Bybit<\/h2>\n

Come tutte le principali piattaforme di scambio di criptovalute, Bybit protegge le criptovalute archiviate con una protezione multilivello. La maggior parte dei fondi viene conservata nei cosiddetti \u201ccold wallet\u201d<\/a> scollegati dai sistemi online. Quando \u00e8 necessario ricaricare le risorse correnti, la somma richiesta viene spostata manualmente dal cold wallet all\u2019hot wallet e l\u2019operazione viene firmata da pi\u00f9 dipendenti contemporaneamente. Per questo, Bybit utilizza una soluzione multi-firma (multisig) di Safe{Wallet} e ogni dipendente coinvolto nella transazione la firma utilizzando una chiave crittografica hardware Ledger privata<\/a>.<\/p>\n

Gli autori degli attacchi hanno studiato il sistema in dettaglio e, secondo dei ricercatori indipendenti, hanno compromesso il computer dello sviluppatore Safe{Wallet}. Presumibilmente sono state apportate modifiche dannose al codice per la visualizzazione delle pagine dell\u2019applicazione Web Safe{Wallet}. Dopo aver condotto le proprie indagini, i proprietari di Safe{Wallet} hanno respinto le conclusioni delle due societ\u00e0 indipendenti di sicurezza informatica, sostenendo che la loro infrastruttura non era stata hackerata.<\/p>\n

Quindi cosa \u00e8 successo? Durante una ricarica di routine di 7 milioni di dollari su un hot wallet, i dipendenti di Bybit hanno visto sui loro schermi dei computer questo importo esatto e l\u2019indirizzo del destinatario, che corrispondeva all\u2019indirizzo dell\u2019hot wallet. Ma sono stati inviati altri dati per la firma! Per i trasferimenti regolari, l\u2019indirizzo del destinatario pu\u00f2 (e dovrebbe!) essere verificato sullo schermo del dispositivo Ledger. Tuttavia, quando si firmano transazioni multisig, queste informazioni non vengono visualizzate, quindi i dipendenti di Bybit hanno sostanzialmente effettuato un trasferimento alla cieca.<\/p>\n

Di conseguenza, hanno inavvertitamente approvato uno smart contract dannoso che ha trasferito l\u2019intero contenuto di uno dei cold wallet di Bybit su diverse centinaia di portafogli falsi. Non appena il prelievo dal portafoglio Bybit \u00e8 stato completato, sembra che il codice sul sito Web Safe{Wallet} sia tornato alla versione innocua. Al momento gli autori degli attacchi sono impegnati a \u201csuddividere\u201d gli Ethereum rubati, trasferendoli a pezzetti nel tentativo di riciclarli.<\/p>\n

A quanto pare, Bybit e i suoi clienti sono stati vittime di un attacco mirato alla supply chain<\/a>.<\/p>\n

Il caso Bybit non \u00e8 un caso isolato<\/h2>\n

L\u2019FBI ha ufficialmente identificato<\/a> come responsabile un gruppo nordcoreano con nome in codice TraderTraitor. Negli ambienti della sicurezza informatica, questo gruppo \u00e8 anche noto come Lazarus, APT38 o BlueNoroff<\/a>. Il suo stile distintivo \u00e8 costituito da attacchi persistenti, sofisticati e sostenuti nel settore delle criptovalute: hackeraggio degli sviluppatori di portafogli, rapina delle piattaforme di scambio di criptovalute, furto agli utenti comuni e persino creazione di falsi giochi play-to-earn<\/a>.<\/p>\n

Prima del raid di Bybit, il record del gruppo \u00e8 stato il furto di 540 milioni di dollari<\/a> dalla blockchain di Ronin Networks, creata per il gioco Axie Infinity<\/em>. Nell\u2019attacco del 2022, gli hacker hanno infettato il computer di uno degli sviluppatori del gioco utilizzando una falsa offerta di lavoro in un file PDF infetto. Questa tecnica di ingegneria sociale \u00e8 tuttora nell\u2019arsenale del gruppo<\/a>.<\/p>\n

A maggio 2024, il gruppo ha portato a termine un furto di oltre 300 milioni di dollari alla piattaforma di scambio di criptovalute giapponese DMM Bitcoin<\/a>, che di conseguenza \u00e8 fallita. In precedenza, nel 2020, erano stati sottratti pi\u00f9 di 275 milioni di dollari dalla piattaforma di scambio di criptovalute KuCoin<\/a>, a causa di una \u201cchiave privata divulgata\u201d per un hot wallet.<\/p>\n

Da oltre un decennio Lazarus affina le sue tattiche di furto di criptovalute. Nel 2018 abbiamo scritto di una serie di attacchi a banche e piattaforme di scambio di criptovalute tramite un\u2019app di trading di criptovalute trojanizzata nell\u2019ambito dell\u2019operazione AppleJeus<\/a>. Gli esperti di Elliptic stimano<\/a> che i guadagni illeciti totali degli autori legati alla Corea del Nord ammontino a circa 6 miliardi di dollari.<\/p>\n

Cosa dovrebbero fare gli investitori in criptovalute<\/h2>\n

Nel caso di Bybit, i clienti sono stati fortunati: la piattaforma di scambio ha prontamente gestito l\u2019ondata di richieste di prelievo che ne \u00e8 seguita e ha promesso di compensare le perdite con i propri fondi. Bybit rimane attiva, quindi i clienti non devono intraprendere alcuna azione particolare.<\/p>\n

Ma l\u2019attacco informatico dimostra ancora una volta quanto sia difficile proteggere i fondi che fluiscono attraverso i sistemi blockchain e quanto poco si possa fare per annullare una transazione o rimborsare denaro. Data la portata senza precedenti dell\u2019attacco, molti hanno chiesto che la blockchain di Ethereum venga riportata allo stato precedente all\u2019attacco, ma gli sviluppatori di Ethereum ritengono questa soluzione \u201ctecnicamente impossibile\u201d<\/a>. Nel frattempo, Bybit ha annunciato un programma di ricompensa<\/a> per le piattaforme di scambio di criptovalute e i ricercatori etici, pari al 10% dei fondi recuperati, ma finora sono stati raccolti solo 43 milioni di dollari.<\/p>\n

Ci\u00f2 ha portato alcuni esperti del settore delle criptovalute<\/a> a ipotizzare che la principale conseguenza dell\u2019attacco informatico sar\u00e0 un aumento dell\u2019autocustodia delle criptovalute<\/a>.<\/p>\n

Con l\u2019autocustodia<\/strong> la responsabilit\u00e0 di un deposito sicuro passa dalle spalle degli specialisti alle tue. Pertanto, \u00e8 opportuno intraprendere questa strada solo se si ha totale fiducia nelle proprie capacit\u00e0 di padroneggiare tutte le misure di sicurezza e di seguirle scrupolosamente giorno dopo giorno. \u00c8 improbabile che gli utenti normali senza milioni di criptovalute subiscano un attacco sofisticato mirato specificamente a loro, mentre gli attacchi di massa generici sono pi\u00f9 facili da deviare.<\/p>\n

Quindi, di cosa c\u2019\u00e8 bisogno per una custodia sicura delle criptovalute?<\/p>\n