tgoop.com/hackproglib/3946
Last Update:
🤑 Вы уже наверняка знаете, что с кошельков криптобиржи Bybit было выведено ETH на сумму более $1,4 млрд… и замешана в этом Lazarus
Но как это произошло с технической стороны? Потихоньку начинают появляться подробности. Оставим в оригинале:
1) malicious JS injected into Safe{Wallet} at http://app.safe.global/_next/static/chunks/pages/_app-4f0dcee809cce622.js (because apparently, one of the nk devs just casually pushed it to production 🤡)
2) the JS modified executeTransaction() only if the signer was in a predefined list (Bybit’s multisig owners).
3) modified transaction now sets operation: 1 (delegatecall) to attacker address instead of a normal call.
4) delegatecall hits the attacker contract, which changed Safe contract's first storage slot which is masterCopy to a another attacker contract.
5) new masterCopy contract contained sweepETH() & sweepERC20(), draining $1.5B
Самое интересное — размеры выплат по программе багбаунти. Тот самый случай, когда продешевили
#apt #news #назлобудня