Bybit 포렌식 조사 보고서를 잠깐 읽어보세요: 안전은 해커들에게 돌파구가 될 수 있을까?

바이비트(Bybit)는 2월 21일 해킹 공격을 받아 약 15억 달러의 손실을 입었으며, 이는 가장 큰 해킹 사건 중 하나가 되었습니다. 오늘 시그니아(Sygnia)가 이 사건에 대한 초기 보고서를 발표했습니다. 배경: 2025년 2월 21일 금요일, 바이비트는 자사의 이더리움(ETH) 콜드 월렛과 관련된 무단 활동을 감지했습니다. 이 사건은 Safe{Wallet}을 통해 콜드 월렛에서 핫 월렛으로 이더리움(ETH) 다중 서명 거래를 수행하는 중에 발생했으며, 공격자가 개입하여 해당 거래를 조작했습니다. 공격자는 영향을 받은 콜드 월렛에 대한 통제권을 얻었고, 자신이 통제하는 월렛으로 자산을 이전했습니다. 시그니아(Sygnia)는 바이비트의 의뢰를 받아 디지털 포렌식 조사를 수행하여 공격의 근본 원인을 규명하고, 공격 범위와 출처를 파악하며, 현재와 미래의 리스크를 완화하는 것을 목표로 하고 있습니다. 주요 발견 사항: - 거래 개시 및 서명에 사용된 모든 호스트에 대한 디지털 포렌식 조사 결과, Safe{Wallet}의 AWS S3 버킷에 있는 리소스에 악성 JavaScript 코드가 주입된 것으로 나타났습니다. - 리소스 수정 시간과 공개적으로 사용 가능한 웹 아카이브 기록을 통해 악성 코드 주입이 Safe{Wallet}의 AWS S3 버킷에서 직접 이루어졌음이 확인되었습니다. - 주입된 JavaScript 코드에 대한 초기 분석 결과, 거래 내용을 조작하여 서명 과정에서 효과적으로 변경하는 것이 주된 목적인 것으로 나타났습니다. - 또한 JavaScript 코드 분석 결과, 거래 출처가 두 개의 계약 주소 중 하나와 일치하는 경우에만 실행되는 활성화 조건이 발견되었습니다(바이비트의 계약 주소와 현재 식별되지 않은 계약 주소). - 악성 거래가 실행되고 2분 후, Safe{Wallet}의 AWS S3 버킷에 새로운 버전의 JavaScript 리소스가 업로드되었으며, 이 버전에서는 악성 코드가 제거되었습니다. - 초기 발견 사항에 따르면 공격의 출처는 Safe{Wallet}의 AWS 인프라인 것으로 보입니다. - 지금까지의 디지털 포렌식 조사에서는 바이비트 인프라에 침입된 흔적이 발견되지 않았습니다. 기술적 발견: - Chrome 브라우저 캐시 분석 결과, 거래 서명 시 JavaScript 리소스가 포함된 캐시 파일이 모든 3명의 서명자 호스트에서 식별되었습니다. - 캐시 파일 내용에 따르면 2025년 2월 19일, 즉 악성 거래 발생 2일 전에 Safe{Wallet}의 AWS S3 버킷에서 제공된 리소스가 마지막으로 수정되었습니다. - Chrome 브라우저 기록에서 발견된 JavaScript 코드 내용은 공격자가 도입한 악성 수정 사항을 보여줍니다. 주입된 코드에 대한 초기 분석 결과, 거래 내용을 변경하는 것이 주된 목적인 것으로 나타났습니다. - 현재 Safe{Wallet}이 AWS S3 버킷을 통해 제공하는 리소스에는 Chrome 캐시 파일에서 식별된 악성 코드가 포함되어 있지 않습니다. - 조사 결과, JavaScript 리소스가 악성 거래 실행 후 약 2분 내인 2025년 2월 21일 14:15:13 및 14:15:32 UTC에 수정되었습니다. - 공개 웹 아카이브를 활용한 추가 분석에서, 2025년 2월 19일 촬영된 두 개의 Safe{Wallet} JavaScript 리소스 스냅샷이 발견되었습니다. 이 스냅샷 검토 결과, 첫 번째 스냅샷에는 원래의 합법적인 Safe{Wallet} 코드가 포함되어 있었지만, 두 번째 스냅샷에는 악성 JavaScript 코드가 포함된 리소스가 있었습니다. 이는 악성 거래를 생성하는 악성 코드가 직접 Safe{Wallet}의 AWS 인프라에서 유래했음을 더욱 보여줍니다. 결론: 세 명의 서명자 호스트에 대한 디지털 포렌식 조사 결과, 공격의 근본 원인은 Safe{Wallet} 인프라에서 유래한 악성 코드인 것으로 나타났습니다. 바이비트 인프라에서는 침입의 흔적이 발견되지 않았습니다. 조사는 계속 진행 중이며, 이러한 발견 사항을 더욱 확인할 예정입니다.