Bybit 於 2 月 21 日遭黑客攻擊，損失近 15 億美元，成為最大的黑客事件之一，今日 Sygnia 發佈了該起事件的初步報告，以下為報告中文翻譯。

背景

2025 年 2 月 21 日星期五，Bybit 檢測到涉及其一個 ETH 冷錢包的未授權活動。事件發生在通過 Safe{Wallet}從冷錢包向熱錢包進行 ETH 多重簽名交易時，威脅者介入並操縱了該交易。威脅者設法獲得了受影響冷錢包的控制權，並將其持有的資產轉移到他們控制的錢包中。

Sygnia 受 Bybit 委託進行取證調查，確定攻擊的根本原因，目標是識別攻擊範圍和來源，並減輕當前和未來的風險。

主要發現：

目前為止，取證調查突出顯示以下發現：

• 對所有用於發起和簽署交易的主機的取證調查發現，在 Safe{Wallet}的 AWS S3 存儲桶中的資源被注入了惡意 JavaScript 代碼。
• 資源修改時間和公開可用的網絡歷史檔案表明，惡意代碼的注入是直接在 Safe{Wallet}的 AWS S3 存儲桶中進行的。
• 對注入的 JavaScript 代碼的初步分析表明，其主要目的是操縱交易，在簽名過程中有效地更改交易內容。
• 此外，對注入 JavaScript 代碼的分析發現了一個激活條件，該條件僅在交易來源匹配兩個合約地址之一時才會執行：Bybit 的合約地址和一個目前未識別的合約地址（可能與威脅者控制的測試合約相關）。
• 在惡意交易執行併發布後兩分鐘，新版本的 JavaScript 資源被上傳到 Safe{Wallet}的 AWS S3 存儲桶。這些更新版本已刪除了惡意代碼。
• 初步發現表明攻擊源自 Safe{Wallet}的 AWS 基礎設施。
• 到目前為止，取證調查未發現 Bybit 基礎設施有任何被入侵的跡象。

技術發現

在對用於發起和簽署交易的主機進行取證調查期間，發現了以下結果：

Chrome 瀏覽器緩存

對 Chrome 瀏覽器緩存文件的取證分析在所有三個簽名者的主機上識別出在交易簽名時創建的包含 JavaScript 資源的緩存文件

緩存文件的內容顯示，2025 年 2 月 21 日從 Safe{Wallet}的 AWS S3 存儲桶提供的資源最後一次修改時間是在 2025 年 2 月 19 日，即惡意交易發生的兩天前。

惡意 JavaScript 注入

在 Chrome 瀏覽記錄中發現的 JavaScript 代碼內容顯示了威脅者引入的惡意修改。對注入代碼的初步分析突出顯示該代碼旨在修改交易內容。

Safe{Wallet} AWS S3 存儲桶當前狀態

Safe{Wallet}當前通過其 AWS S3 存儲桶提供的資源不包含在 Chrome 緩存文件中識別的惡意代碼。

調查確定 JavaScript 資源在 2025 年 2 月 21 日 14:15:13 和 14:15:32 UTC 被修改 - 大約在惡意交易執行後兩分鐘。

Safe{Wallet}互聯網檔案

使用公共網絡檔案對 Safe{Wallet}資源的進一步分析發現了 2025 年 2 月 19 日拍攝的兩個 Safe{Wallet} JavaScript 資源快照。對這些快照的審查顯示，第一個快照包含原始的合法 Safe{Wallet}代碼，而第二個快照包含帶有惡意 JavaScript 代碼的資源。這進一步表明，創建惡意交易的惡意代碼直接來自 Safe{Wallet}的 AWS 基礎設施。

結論

對三個簽名者主機的取證調查表明，攻擊的根本原因是來自 Safe{Wallet}基礎設施的惡意代碼。

在 Bybit 的基礎設施中未發現被入侵的跡象。

調查仍在繼續，以進一步確認這些發現。

關於 Sygnia

Sygnia 是一家網絡安全諮詢和事件響應公司，以其精英網絡情報部門的背景而聞名。Sygnia 與客戶合作，快速遏制和修復攻擊，並主動增強其網絡彈性。Sygnia 的顧問在處理每個安全挑戰時都會考慮到您的業務健康。他們經驗豐富的記錄、承諾和謹慎贏得了全球領先組織（包括財富 100 強公司）的安全團隊、高級管理人員和管理董事會的信任。