专业编程教程与实战项目分享平台

网站首页 > 技术文章 正文

Bybit14多亿美金被盗真相:Safe{Wallet} 前端代码被篡改

ins518 2025-03-06 15:58:18 技术文章 309 ℃ 0 评论

经过连日的调查,Bybit和Safe于2月26日晚间同时发布关于近15亿美金盗窃案板的安全调查报告。

报告分析显示:Lazarus Group(黑客组织)是通过入侵Safe{Wallet} 开发人员机器,并提交了一笔伪装的恶意交易提案,诱导Bybit的safe钱包owner签署恶意交易,用来实现对Bybit钱包的攻击。

外部安全研究人员的取证分析并没有发现safe智能合约、前端或相关的服务的源代码存在任何漏洞。事件发生后,Safe{Wallet} 团队进行了彻查,并分阶段恢复了ETH主网上的Safe{Wallet}。Safe{Wallet}团队已经重建和重新配置了所有基础设施,并轮换了所有凭证,确保完全消除攻击媒介。意思就是问题不是出在Safe{Wallet}上,团队已经对Safe{Wallet}进行了加强防护。

来看看Bybit这边怎么说。

Bybit描述了整个事件的过程:

  • 攻击时间:恶意代码于 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存储桶中,并在 2025 年 2 月 21 日 Bybit 执行 multisig 交易时触发,导致资金被盗。
  • 攻击方法:攻击者通过篡改 Safe{Wallet} 的前端 JavaScript 文件,注入恶意代码,修改 Bybit 的 multisig 交易,将资金重定向到攻击者地址。
  • 攻击目标:恶意代码专门针对 Bybit 的 multisig 冷钱包地址及一个测试地址,仅在特定条件下激活。
  • 攻击后操作:恶意交易执行后约两分钟,攻击者从 AWS S3 存储桶中移除恶意代码,以掩盖痕迹。
  • 调查结论:攻击源自 Safe{Wallet} 的 AWS 基础设施(可能是 S3 CloudFront 账户/API Key 泄露或被入侵),Bybit 自身基础设施未被攻击。


而美国联邦调查局(FBI)则发公告称,这次事件的幕后黑手来自朝鲜黑客组织“TraderTraitor"(也叫Lazarus Group),这个组织就当对这件14亿多美金的盗窃案负责!

来听听做为第三方安全机构的慢雾怎么说。2月26日上午,慢雾安全团队内部对攻击事件进复盘时,慢雾 CISO 23pds 发现自 2 月 21 日攻击发生后,safe开始各种修改前端代码,于是通知负责人Thinking关注。他们使用urlscan 抓取 app.safe.global 近几个月来的变化,发现唯独 “_app-52c9031bfa03da47.js” 这个文件发生了变更:

通过 archive 分析这个文件的变更:

https://web.archive.org/web/20250219172905js_/https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js

匹配到本次被黑事件攻击者使用的恶意实现合约地址:
0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516。


涉及的 “_app-52c9031bfa03da47.js” JavaScript 代码分析如下:


整体攻击流程图

经过综合分析,这次事件是经过黑客精心策划的针对性攻击。这一次盗窃案揭示了这个黑客组织对开发环境和供应链的精准打击能力很高超,也显现了前端代码控制权的重要性。攻击都就是先获取了app.safe.global 的前端代码的控制权,在Bybit的多签owner使用app.safe.global 进行签名时,让Safe{Wallet} 的界面展示正常地址,实际上在发起交易的时候已经将交易内容换成恶意的待签名数据,从而欺骗owner签署经过修改后的恶意待签名数据。最终,攻击者成功接管了Bybit的多签钱包控制权,接下来把钱包一洗而空。

币圈总是存在各种各样的漏洞,虽然盗窃案时有发生,也让币圈损失惨重,像这一次,币圈受到重击,连日大跌,以太链更是惨不忍睹,但币圈一直在进步,永不停歇!


本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表