報告指出,Lazarus 疑似在 15 億美元 Bybit 駭客事件前入侵 Safe 開發者的機器
根據Sygnia的一份中期報告,Lazarus似乎已經入侵了一台Safe開發者的機器,從而能夠注入一個高度針對性的腳本,用於控制Bybit的以太坊冷錢包。
Bybit,迄今為止遭受最大單日駭客攻擊的受害者,已發布一份“臨時調查”報告,披露該交易所迄今所知的情況,並繼續追蹤由北韓駭客組織Lazarus Group於週五竊取的15億美元資金。
如先前報導,攻擊發生在一個相對平和的操作期間,當時Bybit多重簽名持有人協調將資金從冷錢包轉移到“熱錢包”,使用Safe(Wallet)介面時,“一名威脅行為者介入並操縱了交易。”
“威脅行為者設法控制了受影響的冷錢包,並將其持有的資金轉移到他們控制的錢包中,”位於特拉維夫的加密貨幣網絡安全公司Sygnia在報告中寫道。
根據其對修改系統和網頁檔案的法證調查,旨在“識別妥協的來源和範圍”,Sygnia發現Lazarus似乎能夠控制一名Safe開發者的電腦,以注入專門針對Bybit簽名者的惡意軟體。
這證實了一些在漏洞發生後數小時內由以太坊安全社區迅速進行的研究——儘管不是全部。雖然看起來Lazarus使用了一種越來越流行的策略,感染用於移動資金的簽名設備和“盲簽名”,以通過掩蓋用戶介面來欺騙簽名者不知不覺地與攻擊者控制的不熟悉地址互動,正如The Block先前報導的那樣,但現在更清楚的是,Bybit的設備並未直接牽涉其中。
然而,Syngia的研究確實有助於更好地理解Lazarus如何能夠控制Bybit多重簽名持有者的簽名操作。
不是Bybit的基礎設施
“突出的初步發現表明攻擊源自Safe(Wallet)的AWS基礎設施,”Syngia報告稱。“到目前為止,法證調查未發現Bybit基礎設施的任何妥協。”
調查結果表明,未經授權的活動源自對Safe(Wallet)雲端系統的針對性攻擊,特別是其Amazon Web Services (AWS) S3存儲桶,一個通常用於存儲和檢索靜態文件(如腳本或HTML代碼)的靈活系統。簽名者的瀏覽器隨後從S3存儲桶加載了被破壞的JavaScript(在本地緩存,正如Sygnia審查的Chrome工件中發現的那樣),然後在Bybit移動其資金時執行了更改的交易。此外,Sygnia在所有用於啟動和簽署受損交易的多重簽名主機上發現了此代碼。
就其本身而言,Safe——一個從Gnosis分拆出來的團隊——確認攻擊“是通過一台被破壞的Safe{Wallet}開發者機器實現的,導致了一個偽裝的惡意交易的提議”,但 did not compromi
查看 Safe 的前端、源代碼或智能合約。
其他人是否有風險?
儘管如此,目前尚不清楚該開發機器是如何被入侵的,或者其他 Safe 用戶是否面臨風險。Lazarus 可能通過洩露憑證——例如通過網絡釣魚或惡意軟件竊取員工或第三方的 AWS 訪問密鑰——或更複雜的漏洞利用,獲得了修改 Safe{Wallet} 的 AWS S3 存儲桶中文件的能力。
無論如何,一旦進入,攻擊者就能上傳或更改文件——例如注入惡意代碼,使他們能夠控制 Bybit 安全系統的關鍵部分。
“Safe 的這次更新並不太好。它使用模糊的語言來掩蓋問題。讀完之後,我有更多的問題而不是答案,”前 Binance CEO 趙長鵬在回應 Safe 的公開聲明時說。“‘入侵 Safe {Wallet} 開發者機器’是什麼意思?他們是如何入侵這台特定機器的?是社交工程、病毒等嗎?開發者機器如何能夠訪問‘由 Bybit 操作的賬戶’?”
CZ 還提出了關於注入的代碼如何影響 Bybit 的問題,以及為什麼其 15 億美元的以太坊地址特別成為目標。“他們是如何在多個簽名者處欺騙 Ledger 驗證步驟的?是盲簽嗎?還是簽名者沒有正確驗證?”他問道。
Safe 指出,它已“完全重建、重新配置所有基礎設施,並更換所有憑證,確保攻擊向量被完全消除”,但在簽署交易時仍表達了謹慎。
Sygnia 發現代碼高度針對性,因為它僅在交易來源匹配兩個合約地址之一時激活:Bybit 的合約地址和一個未識別的合約地址,可能與威脅行為者相關。此外,Lazarus 似乎在攻擊前兩天緩存了該文件。
在惡意交易執行後兩分鐘,Lazarus 上傳了新的、未經篡改的 Javascript 資源版本到 Safe(Wallet) 的 AWS S3 存儲桶以掩蓋其行蹤。
公共通信
Bybit 一直在努力保持公眾知情,並尋求追回資金。在漏洞利用後的幾天裡,該交易所告訴用戶他們不會受到影響,因為它已獲得一筆橋樑貸款以彌補儲備金的不足。它還啟動了漏洞賞金計劃——向任何能夠追回資金的人提供 10%,並向努力凍結資金的交易所和混幣器提供 5%。
一些以太坊研究人員估計,該交易所已經能夠追回超過 1 億美元的資金,其中包括 4300 萬美元的 mETH。
“調查仍在進行中,以進一步確認調查結果,”Sygnia 寫道。
更新: 添加了趙長鵬的聲明。
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
Jeff Dorman:迷因與「瘋狂」正在奪走真正產業的心智份額
阿卡首席投資官Jeff Dorman表示,當大型機構投資者正準備參與時,迷因幣和「瘋狂」正在從一個真實且不斷增長的行業中奪走注意力。
MARA全年收入增長69%至6.564億美元,持有44,893枚比特幣
簡要概述 MARA,前身為 Marathon Digital,公佈的第四季度收益遠超預期。該季度收入增長37%至2.144億美元,高於去年同期的1.568億美元。
每日新聞:Bybit 駭客事件事後分析顯示安全基礎設施受損,比特幣 ETF 出現創紀錄的 11 億美元資金流出及更多內容
簡報 一份初步事後分析報告顯示,一台被入侵的Safe開發者機器似乎讓Lazarus Group注入了一個高度針對性的惡意腳本,從而控制了Bybit的以太坊冷錢包,執行了歷史上最大規模的攻擊。美國現貨比特幣ETF在週二出現了超過11億美元的單日資金流出,創下歷史新高,這標誌著連續六天的負面趨勢,總計超過22億美元。
鏈上偵探ZachXBT加入加密風投公司Paradigm擔任事件響應顧問
快速摘要 匿名的ZachXBT在X平台上积累了超过80万的追随者,并在Telegram频道上拥有7万名订阅者。
加密貨幣價格
更多
