网站首页 > 技术文章 正文
经过连日的调查,Bybit和Safe于2月26日晚间同时发布关于近15亿美金盗窃案板的安全调查报告。
报告分析显示:Lazarus Group(黑客组织)是通过入侵Safe{Wallet} 开发人员机器,并提交了一笔伪装的恶意交易提案,诱导Bybit的safe钱包owner签署恶意交易,用来实现对Bybit钱包的攻击。
外部安全研究人员的取证分析并没有发现safe智能合约、前端或相关的服务的源代码存在任何漏洞。事件发生后,Safe{Wallet} 团队进行了彻查,并分阶段恢复了ETH主网上的Safe{Wallet}。Safe{Wallet}团队已经重建和重新配置了所有基础设施,并轮换了所有凭证,确保完全消除攻击媒介。意思就是问题不是出在Safe{Wallet}上,团队已经对Safe{Wallet}进行了加强防护。
来看看Bybit这边怎么说。
Bybit描述了整个事件的过程:
- 攻击时间:恶意代码于 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存储桶中,并在 2025 年 2 月 21 日 Bybit 执行 multisig 交易时触发,导致资金被盗。
- 攻击方法:攻击者通过篡改 Safe{Wallet} 的前端 JavaScript 文件,注入恶意代码,修改 Bybit 的 multisig 交易,将资金重定向到攻击者地址。
- 攻击目标:恶意代码专门针对 Bybit 的 multisig 冷钱包地址及一个测试地址,仅在特定条件下激活。
- 攻击后操作:恶意交易执行后约两分钟,攻击者从 AWS S3 存储桶中移除恶意代码,以掩盖痕迹。
- 调查结论:攻击源自 Safe{Wallet} 的 AWS 基础设施(可能是 S3 CloudFront 账户/API Key 泄露或被入侵),Bybit 自身基础设施未被攻击。
而美国联邦调查局(FBI)则发公告称,这次事件的幕后黑手来自朝鲜黑客组织“TraderTraitor"(也叫Lazarus Group),这个组织就当对这件14亿多美金的盗窃案负责!
来听听做为第三方安全机构的慢雾怎么说。2月26日上午,慢雾安全团队内部对攻击事件进复盘时,慢雾 CISO 23pds 发现自 2 月 21 日攻击发生后,safe开始各种修改前端代码,于是通知负责人Thinking关注。他们使用urlscan 抓取 app.safe.global 近几个月来的变化,发现唯独 “_app-52c9031bfa03da47.js” 这个文件发生了变更:
通过 archive 分析这个文件的变更:
https://web.archive.org/web/20250219172905js_/https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
匹配到本次被黑事件攻击者使用的恶意实现合约地址:
0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516。
涉及的 “_app-52c9031bfa03da47.js” JavaScript 代码分析如下:
整体攻击流程图
经过综合分析,这次事件是经过黑客精心策划的针对性攻击。这一次盗窃案揭示了这个黑客组织对开发环境和供应链的精准打击能力很高超,也显现了前端代码控制权的重要性。攻击都就是先获取了app.safe.global 的前端代码的控制权,在Bybit的多签owner使用app.safe.global 进行签名时,让Safe{Wallet} 的界面展示正常地址,实际上在发起交易的时候已经将交易内容换成恶意的待签名数据,从而欺骗owner签署经过修改后的恶意待签名数据。最终,攻击者成功接管了Bybit的多签钱包控制权,接下来把钱包一洗而空。
币圈总是存在各种各样的漏洞,虽然盗窃案时有发生,也让币圈损失惨重,像这一次,币圈受到重击,连日大跌,以太链更是惨不忍睹,但币圈一直在进步,永不停歇!
- 上一篇: 什么是 typeScript ?
- 下一篇: 写前端代码真是一件有意思的事情
猜你喜欢
- 2025-03-06 AI前端开发的未来:低代码、智能化与个性化体验的融合
- 2025-03-06 怎样编写代码实现富文本前端界面(Text)的复制/粘贴/剪切功能
- 2025-03-06 写前端代码真是一件有意思的事情
- 2025-03-06 抽空三分钟,读懂 Object 、 object 和 「 」 三者之间区别
- 2025-03-06 什么是 typeScript ?
- 2025-03-06 前端开发30000行代码等于什么?
- 2025-03-06 如何写好一段前端代码?
你 发表评论:
欢迎- 620℃几个Oracle空值处理函数 oracle处理null值的函数
- 612℃Oracle分析函数之Lag和Lead()使用
- 601℃0497-如何将Kerberos的CDH6.1从Oracle JDK 1.8迁移至OpenJDK 1.8
- 597℃Oracle数据库的单、多行函数 oracle执行多个sql语句
- 593℃Oracle 12c PDB迁移(一) oracle迁移到oceanbase
- 584℃【数据统计分析】详解Oracle分组函数之CUBE
- 574℃最佳实践 | 提效 47 倍,制造业生产 Oracle 迁移替换
- 563℃Oracle有哪些常见的函数? oracle中常用的函数
- 最近发表
- 标签列表
-
- 前端设计模式 (75)
- 前端性能优化 (51)
- 前端模板 (66)
- 前端跨域 (52)
- 前端缓存 (63)
- 前端aes加密 (58)
- 前端脚手架 (56)
- 前端md5加密 (54)
- 前端路由 (61)
- 前端数组 (73)
- 前端js面试题 (50)
- 前端定时器 (59)
- 前端获取当前时间 (50)
- Oracle RAC (76)
- oracle恢复 (77)
- oracle 删除表 (52)
- oracle 用户名 (80)
- oracle 工具 (55)
- oracle 内存 (55)
- oracle 导出表 (62)
- oracle约束 (54)
- oracle 中文 (51)
- oracle链接 (54)
- oracle的函数 (58)
- 前端调试 (52)
本文暂时没有评论,来添加一个吧(●'◡'●)