Chainfeeds 导读：

黑客组织，尤其是 Lazarus Group 等国家级黑客，正持续升级攻击手段。

文章来源：

https://mp.weixin.qq.com/s/imC09I6Ty5aMkkENZTMOVg

文章作者：

慢雾安全团队

观点：

慢雾安全团队：我们使用链上追踪与反洗钱工具 MistTrack 对初始黑客地址 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 进行分析，得到以下信息：ETH 被分散转移，初始黑客地址将 400,000 ETH 以每 1,000 ETH 的格式分散到 40 个地址，正在继续转移。其中，205 ETH 通过 Chainflip 换为 BTC 跨链到地址：bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq。cmETH 流向上，15,000 cmETH 被转移至地址 0x1542368a03ad1f03d96D51B414f4738961Cf4443。值得注意的是，mETH Protocol 在 X 上发文表示，针对 Bybit 安全事件，团队及时暂停了 cmETH 提款，阻止了未经授权的提现行为，mETH Protocol 成功从黑客地址回收了 15,000 cmETH。8,000 mETH 和 90,375.5479 stETH 被转移到地址 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e。接着通过 Uniswap 和 ParaSwap 兑换为 98,048 ETH 后，又转移到 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92。地址 0xdd9 以每 1,000 ETH 的格式将 ETH 分散至 9 个地址，暂未转出。事件发生后，慢雾第一时间通过攻击者获取 Safe 多签的手法以及洗币手法推测攻击者为朝鲜黑客。使用 MistTrack 分析，还发现了该事件的黑客地址与 BingX Hacker、Phemex Hacker 地址关联的情况。ZachXBT 也实锤了本次攻击与朝鲜黑客组织 Lazarus Group 有关，该组织一直以实施跨国网络攻击和盗窃加密货币为主要活动之一。从攻击手法上看，WazirX 被黑事件和 Radiant Capital 被黑事件与本次攻击都有相似之处，这三个事件的攻击目标都是 Safe 多签钱包。对于 WazirX 被黑事件，攻击者同样提前部署了恶意的实现合约，并通过三个 Owner 签署交易，通过 DELEGATECALL 将恶意逻辑合约写入 STORAGE 0 存储，以替换 Safe 合约为恶意实现合约。对于 Radiant Capital 被黑事件，根据官方披露，攻击者利用了一种复杂的方法，使得签名验证者在前端看到了看似合法的交易，这与 Ben Zhou 推文所披露的信息相似。并且这三次事件所涉及的恶意合约的权限检查方式都是相同的，都是在合约中硬编码了 owner 地址以对合约调用者进行检查。其中 Bybit 被黑事件与 WazirX 被黑事件权限检查抛出的错误信息也相似。再结合 Ben Zhou 的推文。产生以下疑问点：1）例行 ETH 转账：攻击者可能事先获取了 Bybit 内部财务团队的操作信息，掌握了 ETH 多签冷钱包转账的时间点？通过 Safe 系统，诱导签名者在伪造界面上签署恶意交易？Safe 的前端系统是不是被攻破并被接管了？2）Safe 合约 UI 被篡改：签名者在 Safe 界面上看到的是正确的地址和 URL，但实际签名的交易数据已被篡改？关键问题在于：是谁最先发起签名请求？其设备安全性如何？我们带着这些疑问，期待官方能尽快披露更多调查结果。