专业取证调查人员发现,朝鲜Lazarus黑客在入侵多重签名钱包平台Safe{Wallet}开发人员的设备后,从Bybit窃取了15亿美元。
Bybit首席执行官Ben Zhou分享了Sygnia和Verichains的两项调查的结论,均发现此次攻击源自Safe{Wallet}的基础设施。
“此次攻击专门针对Bybit,将恶意JavaScript注入Bybit签名者可以访问的app.safe.global。有效载荷被设计为仅在满足某些条件时激活。这种选择性执行确保后门不会被普通用户发现,同时会危及高价值目标,”Verichains表示。
“根据对Bybit签名者机器的调查结果以及在Wayback Archive上发现的缓存的恶意JavaScript负载,我们强烈得出结论,Safe.Global的AWS S3或CloudFront帐户/API密钥可能已泄露或被盗用。”
Sygnia补充道:“恶意交易执行并发布两分钟后,新版本的JavaScript资源被上传到Safe{Wallet}的AWS S3存储桶。这些更新版本已删除恶意代码。”
Sygnia还发现,Safe{Wallet}的AWS S3存储桶提供的恶意JavaScript代码(针对Bybit的以太坊多重签名冷钱包)用于将Bybit的加密资产重定向到攻击者控制的钱包,该代码在2月21日攻击发生前两天已被修改。事件发生后,Sygnia对Bybit基础设施的取证调查未发现任何被入侵的证据。
安全生态系统基金会(Safe Ecosystem Foundation)今天也在一份声明中证实了他们的结论,该声明透露,此次攻击首先是通过入侵Safe {Wallet}开发人员的机器进行的,这为威胁行为者提供了访问Bybit运营的账户的权限。
Safe{Wallet}团队表示:“对Lazarus Group对Bybit发起的针对性攻击的取证审查得出结论,此次针对Bybit Safe的攻击是通过被入侵的Safe{Wallet}开发人员机器实现的,从而提出了伪装的恶意交易。”
Safe{Wallet}发表推文确认
自事件发生以来,Safe{Wallet}团队已分阶段在以太坊主网上恢复了Safe{Wallet},暂时删除了本机Ledger集成、Bybit加密货币抢劫中使用的签名设备/方法。
分阶段推出的恢复Safe{Wallet}服务还增加了进一步的安全措施,包括增强的监控警报和对交易哈希、数据和签名的额外验证。
Safe{Wallet}团队表示,他们已经完全重建并重新配置了所有基础设施,并轮换了所有凭证,以确保攻击媒介已被删除并且不能在未来的攻击中使用。
虽然外部安全研究人员的取证审查未发现Safe智能合约或其前端和服务的源代码中存在漏洞,但Safe建议用户在签署交易时保持警惕并“极其谨慎”。
史上最大加密货币盗窃案
前期报道,朝鲜黑客拦截了一项计划中的资金转移,该转移计划是将资金从Bybit的一个冷钱包转移到一个热钱包。然后,他们将加密资产重定向到他们控制的区块链地址,从而窃取了超过15亿美元的资金,这被认为是历史上最大的加密货币抢劫案。
“2025年2月21日,大约UTC时间下午12:30,Bybit在例行转账过程中检测到我们的一个以太坊(ETH)冷钱包中存在未经授权的活动。此次转账是ETH从我们的ETH Multisig冷钱包转移到我们的热钱包的计划的一部分,”Bybit在周五发布的事后报告中分享道。
“不幸的是,该交易被一种复杂的攻击所操纵,这种攻击改变了智能合约逻辑并掩盖了签名界面,使攻击者能够控制ETH冷钱包。结果,超过400,000个ETH和stETH(价值超过15亿美元)被转移到一个身份不明的地址。”
此后,Bybit恢复了其ETH储备 ,首席执行官表示, 即使丢失的资产无法完全收回,加密货币交易所也有偿付能力。
在调查此次攻击时,加密欺诈调查员ZachXBT发现了攻击Bybit的黑客与臭名昭著的朝鲜Lazarus Group威胁组织之间的联系,因为攻击者将部分被盗的Bybit资金发送到之前在Phemex、BingX和Poloniex黑客攻击中使用的以太坊地址。
ZachXBT 的发现也得到了区块链情报公司TRM Labs和区块链分析公司Elliptic的证实,他们发现“盗窃Bybit的黑客控制的地址与与之前朝鲜黑客盗窃案有关的地址存在大量重叠”,并分享了更多有关黑客试图减缓追踪尝试的信息。
去年12月,区块链分析公司Chainalysis表示,朝鲜黑客在2024年的47次加密货币盗窃中窃取了13.4亿美元 。
Elliptic本周补充说,他们“自2017年以来已经窃取了超过60亿美元的加密资产,据报道这些收益被用于该国的弹道导弹计划”。