TechFlow, le 6 mars, Safe a publié un nouveau rapport d'enquête confirmant qu'il avait collaboré avec Mandiant, une entreprise de cybersécurité appartenant à Google, pour enquêter sur l'incident de sécurité survenu le 21 février. Les résultats préliminaires indiquent qu'il s'agit d'une attaque hautement sophistiquée soutenue par un État.
Le rapport confirme que le FBI américain attribue cet incident à l'organisation menaçante liée à la Corée du Nord, TraderTraitor (désignée par Mandiant sous le nom UNC4899). Les attaquants ont réussi à infiltrer l'ordinateur portable d'un développeur de Safe{Wallet} et à détourner des jetons de session AWS afin de contourner les contrôles d'authentification multifacteur (MFA).
L'équipe de Safe{Wallet} a mis en œuvre plusieurs mesures renforcées de sécurité, notamment une réinitialisation complète de l'infrastructure, une restriction des accès externes, une mise à niveau du système de détection des transactions malveillantes, un renforcement de la surveillance, l'annulation de toutes les transactions en attente ainsi que la désactivation temporaire de la fonctionnalité de signature par portefeuille matériel natif.
Le rapport souligne que les contrats intelligents de Safe n'ont pas été affectés par cet incident, et l'équipe travaille activement à la restauration de tous les réseaux et services. Safe{Wallet} appelle également l'industrie à agir collectivement pour améliorer les mécanismes de vérification des transactions et renforcer la sécurité dans l'écosystème Web3.




