加密货币交易所Bybit此前被黑客盗取价值约14亿美元的以太坊,被盗的以太坊位于Bybit的仓库钱包中,仓库钱包使用多重签名钱包平台SafeWallet。在盗窃事件发生后多名加密货币领域的研究人员无法搞清楚黑客如何实现的攻击,毕竟黑客不太可能同时控制Bybit的钱包管理者进行签名。
不过最新调查结果显示此次攻击与Bybit完全没有关系,出现安全问题的是SafeWallet钱包,في الواقع، حققت مجموعة القراصنة الكورية الشمالية Lazarus Group بالفعل عملية اختراق، لكنها تنتظر الفرص لمهاجمة الأهداف ذات القيمة العالية فقط..
研究人员称此次攻击专门针对Bybit这个高价值目标,黑客将恶意JavaScript脚本注入到Bybit签名者可以访问的app.safe.global,而有效的恶意脚本仅在满足某些条件时才会激活,这种选择性执行确保后门不会被普通用户发现。
استنادًا إلى النتائج التي توصلت إليها آلة موقع Bybit والتراجع من خلال موقع Time Machine (WaybackArchive) الخاص بأرشيف الإنترنت، عثر الباحثون على نصوص JavaScript ضارة مخبأة، وتوصل الباحثون إلى نتيجة قوية: ربما يكون حساب Safe.Global أو واجهة برمجة التطبيقات في Amazon AWS S3 أو AWS Cloud Front قد تم تسريبه أو سرقته.
在这种情况下黑客可以借助账号或API修改S3或CloudFront(AWS提供的CDN服务)从而添加恶意脚本,研究人员也从SafeWallet的AWSS3存储桶中发现了针对Bybit的以太坊多重签名冷钱包恶意代码。
أصدرت SafeWallet بيانًا يفيد بأن تحقيق الطب الشرعي في الهجوم الذي شنته LazarusGroup ضد Bybit خلص إلى أن الهجوم تم تنفيذه من خلال جهاز مطور SafeWallet المخترق (بمعنى آخر، بعد إصابة جهاز مطور SafeWallet بتعليمات برمجية ضارة، أضاف المتسلل نصوص JavaScript ضارة من خلال حساب المطور بأذونات.).
لقد قامت منصة المحفظة الآن بإعادة بناء وتكوين جميع البنية التحتية بالكامل، مع تدوير جميع بيانات الاعتماد، بما في ذلك مفاتيح واجهة برمجة التطبيقات، وما إلى ذلك لضمان إزالة ناقل الهجوم وعدم إمكانية استخدامه في الهجمات المستقبلية.
另外目前研究人员并未在SafeWallet的智能合约或其前端和服务的源代码中发现漏洞,只能说黑客预先针对SafeWallet开发者发起攻击确实是个天衣无缝的方案。