Chainfeeds 導讀：

黑客組織，尤其是 Lazarus Group 等國家級黑客，正持續升級攻擊手段。

文章來源：

https://mp.weixin.qq.com/s/imC09I6Ty5aMkkENZTMOVg

文章作者：

慢霧安全團隊

觀點：

慢霧安全團隊：我們使用鏈上追蹤與反洗錢工具 MistTrack 對初始黑客地址 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 進行分析，得到以下信息：ETH 被分散轉移，初始黑客地址將 400,000 ETH 以每 1,000 ETH 的格式分散到 40 個地址，正在繼續轉移。其中，205 ETH 通過 Chainflip 換為 BTC 跨鏈到地址：bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq。cmETH 流向上，15,000 cmETH 被轉移至地址 0x1542368a03ad1f03d96D51B414f4738961Cf4443。值得注意的是，mETH Protocol 在 X 上發文表示，針對 Bybit 安全事件，團隊及時暫停了 cmETH 提款，阻止了未經授權的提現行為，mETH Protocol 成功從黑客地址回收了 15,000 cmETH。8,000 mETH 和 90,375.5479 stETH 被轉移到地址 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e。接著通過 Uniswap 和 ParaSwap 兌換為 98,048 ETH 後，又轉移到 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92。地址 0xdd9 以每 1,000 ETH 的格式將 ETH 分散至 9 個地址，暫未轉出。事件發生後，慢霧第一時間通過攻擊者獲取 Safe 多籤的手法以及洗幣手法推測攻擊者為朝鮮黑客。使用 MistTrack 分析，還發現了該事件的黑客地址與 BingX Hacker、Phemex Hacker 地址關聯的情況。ZachXBT 也實錘了本次攻擊與朝鮮黑客組織 Lazarus Group 有關，該組織一直以實施跨國網絡攻擊和盜竊加密貨幣為主要活動之一。從攻擊手法上看，WazirX 被黑事件和 Radiant Capital 被黑事件與本次攻擊都有相似之處，這三個事件的攻擊目標都是 Safe 多籤錢包。對於 WazirX 被黑事件，攻擊者同樣提前部署了惡意的實現合約，並通過三個 Owner 簽署交易，通過 DELEGATECALL 將惡意邏輯合約寫入 STORAGE 0 存儲，以替換 Safe 合約為惡意實現合約。對於 Radiant Capital 被黑事件，根據官方披露，攻擊者利用了一種複雜的方法，使得簽名驗證者在前端看到了看似合法的交易，這與 Ben Zhou 推文所披露的信息相似。並且這三次事件所涉及的惡意合約的權限檢查方式都是相同的，都是在合約中硬編碼了 owner 地址以對合約調用者進行檢查。其中 Bybit 被黑事件與 WazirX 被黑事件權限檢查拋出的錯誤信息也相似。再結合 Ben Zhou 的推文。產生以下疑問點：1）例行 ETH 轉賬：攻擊者可能事先獲取了 Bybit 內部財務團隊的操作信息，掌握了 ETH 多籤冷錢包轉賬的時間點？通過 Safe 系統，誘導簽名者在偽造界面上籤署惡意交易？Safe 的前端系統是不是被攻破並被接管了？2）Safe 合約 UI 被篡改：簽名者在 Safe 界面上看到的是正確的地址和 URL，但實際簽名的交易數據已被篡改？關鍵問題在於：是誰最先發起簽名請求？其設備安全性如何？我們帶著這些疑問，期待官方能儘快披露更多調查結果。