作者:23pds & Thinking 編輯:Liz
背景
2 月 26 日晚間, Bybit 與 Safe 同時發佈關於之前 Bybit 價值近 15 億美金的加密貨幣被盜事件的安全調查公告。
Safe 方面表示:
Lazarus Group 對 Bybit 發起的針對性攻擊的取證分析表明,攻擊者通過入侵 Safe{Wallet} 開發人員機器,從而提交了一筆偽裝的惡意交易提案,並誘導 Bybit 的 Safe 錢包 Owner 簽署惡意交易,實現對 Bybit Safe 錢包的攻擊。
外部安全研究人員的取證分析未發現 Safe 智能合約、前端或相關服務的源代碼存在任何漏洞。事件發生後,Safe{Wallet} 團隊進行了徹查,並分階段恢復了以太坊主網上的 Safe{Wallet}。Safe{Wallet} 團隊已完全重建、重新配置了所有基礎設施,並輪換了所有憑證,確保完全消除了攻擊媒介。待調查最終結果出爐後,Safe{Wallet} 團隊將發佈完整的事後分析。
Safe{Wallet} 前端仍在運行,並採取了額外的安全措施。但是,用戶在簽署交易時需要格外小心並保持警惕。
Bybit 方面表示:
攻擊時間:惡意代碼於 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存儲桶中,並在 2025 年 2 月 21 日 Bybit 執行 multisig 交易時觸發,導致資金被盜。
攻擊方法:攻擊者通過篡改 Safe{Wallet} 的前端 JavaScript 文件,注入惡意代碼,修改 Bybit 的 multisig 交易,將資金重定向到攻擊者地址。
攻擊目標:惡意代碼專門針對 Bybit 的 multisig 冷錢包地址及一個測試地址,僅在特定條件下激活。
攻擊後操作:惡意交易執行後約兩分鐘,攻擊者從 AWS S3 存儲桶中移除惡意代碼,以掩蓋痕跡。
調查結論:攻擊源自 Safe{Wallet} 的 AWS 基礎設施(可能是 S3 CloudFront 賬戶/API Key 洩露或被入侵),Bybit 自身基礎設施未被攻擊。
美國聯邦調查局(FBI) 發佈公告,確認朝鮮黑客組織“TraderTraitor”(亦稱 Lazarus Group)是 2 月 21 日針對 Bybit 交易所發起的黑客攻擊的幕後黑手,此次攻擊導致價值 15 億美元的加密資產被盜。
回顧分析
慢霧作為外部第三方安全機構,雖然沒有直接介入分析,但是我們也持續關注事情的進展。
2 月 26 日上午,慢霧安全團隊內部對攻擊進行復盤時,慢霧 CISO 23pds 發現自 2 月 21 日攻擊發生後,Safe 開始各種修改前端等代碼,於是 23pds 在 X 發佈部分分析,並立即通知慢霧安全團隊負責人 Thinking 關注:
https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
這個 JavaScript 代碼的歷史變更:
我們首先使用 urlscan 抓取 app.safe.global 近幾個月來的變化,發現唯獨 “_app-52c9031bfa03da47.js” 這個文件發生了變更:
於是,我們通過 archive 分析這個文件的變更:
https://web.archive.org/web/20250219172905js_/https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
如圖所示:
匹配到本次被黑事件攻擊者使用的惡意實現合約地址:0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516。
涉及的 “_app-52c9031bfa03da47.js” JavaScript 代碼分析如下:
(圖片來源:ScamSniffer)
整體攻擊流程圖
巧合的是,我們在分析的過程中,Safe 和 Bybit 昨晚剛好發佈了調查報告,最終事情有了定論,這無疑是件好事。至此,可以確認此次 Bybit 價值近 15 億美元的加密貨幣被盜事件是攻擊者精心策劃的針對性攻擊。此次事件揭示了黑客對開發環境和供應鏈的精準打擊能力,並凸顯了前端代碼控制權的重要性。攻擊者先獲取到 app.safe.global 的前端代碼的控制權,然後針對 Bybit 的 Safe{Wallet} 錢包進行精準攻擊。在 Bybit 的多籤 Owner 使用 app.safe.global 進行簽名的時,讓 Safe{Wallet} 的界面展示正常地址,實則在發起交易的時已將交易內容替換成惡意的待簽名數據,從而欺騙 Owner 簽署了經過修改後的惡意待簽名數據。最終,攻擊者成功接管了 Bybit 的多籤錢包的合約控制權,並實施盜幣。
