數位鑑識調查人員發現,北韓Lazarus駭客在入侵多重簽名錢包平台 Safe{Wallet} 開發人員的設備後,從Bybit 竊取了15 億美元。Bybit執行長 Ben Zhou公開Sygnia和Verichains兩項調查的結論,均發現此次攻擊源自 Safe{Wallet} 的基礎設施。「這次攻擊專門針對Bybit,將惡意JavaScript注入 Bybit簽署者可以存取的app.safe.global。有效載荷被設計為僅在滿足某些條件時啟動。這種選擇性執行確保後門不會被普通用戶發現,同時會危及高價值目標,」Verichains 表示。
「根據對Bybit簽署者機器的調查結果以及在Wayback Archive上發現的快取的惡意JavaScript負載,強烈得出結論,Safe.Global的AWS S3或CloudFront帳戶/API金鑰可能已洩露或被盜用」。Sygnia補充道:「惡意交易執行並發布兩分鐘後,新版本的JavaScript資源被上傳到Safe{Wallet}的 AWS S3儲存桶。這些更新版本已刪除惡意程式碼」。Sygnia還發現,由 Safe{Wallet}的AWS S3儲存桶提供的惡意JavaScript程式碼(針對Bybit的以太坊多重簽章冷錢包)用於將Bybit的加密資產重定向到攻擊者控制的錢包,在2025年2月21日攻擊發生前兩天已被修改。事件發生後,Sygnia對 Bybi 基礎設施數位鑑識調查中均未發現任何受到入侵的證據。Safe表示:「對 Lazarus Group對Bybit發起的針對性攻擊的鑑識調查審查得出結論,此次針對Bybit Safe的攻擊是透過受損的Safe{Wallet}開發人員機器實現的,從而提出了偽裝的惡意交易」。
自事件發生至今,Safe{Wallet} 團隊已分階段在以太坊主網上恢復了 Safe{Wallet},暫時刪除了本機Ledger整合、Bybit加密貨幣搶劫中使用的簽名設備 / 方法。分階段推出的恢復Safe{Wallet} 服務還增加了進一步的安全措施,包括增強的監控警報和對交易雜湊、資料和簽章的額外驗證。Safe{Wallet} 團隊表示,已經完全重建並重新配置了所有基礎設施,並輪換了所有憑證,以確保攻擊媒介已被刪除並且不能在未來的攻擊中使用。雖然外部安全研究人員的鑑識調查審查未發現Safe智慧合約或其前端和服務的源始碼中存在漏洞,但Safe建議用戶在簽署交易時保持警惕並「極其謹慎」。安全生態系統基金會亦在一份聲明中證實所得結論,該聲明透露,此次攻擊首先透過入侵Safe {Wallet} 開發人員機器進行,這為威脅行為者提供了存取Bybit營運的帳戶的權限。
史上最大加密貨幣竊盜案
根據BleepingComputer報道,北韓駭客攔截Bybit將其一個冷錢包中的資金轉移到熱錢包的計劃。然後,駭客將加密資產重定向到他們控制的區塊鏈位址,從而竊取超過 15 億美元,此事件被公認為歷史上最大的加密貨幣搶劫案。「2025年2月21日,大約下午12:30,Bybit在例行轉帳過程中檢測到一個以太坊 (ETH)冷錢包中存在未經授權的活動。此次轉帳是ETH從ETH Multisig冷錢包轉移到熱錢包的一部分計劃」。
「不幸的是,交易被一種複雜的攻擊所操縱,這種攻擊改變了智慧合約邏輯並掩蓋簽名界面,使攻擊者能夠控制ETH冷錢包。超過400,000個ETH和stETH(價值超過15億美元)被轉移到一個身份不明的位址」。從此之後,Bybit恢復了其ETH儲備,執行長表示,即使遺失的資產無法完全收回,加密貨幣交易所也有償付能力。調查這次攻擊時,加密詐欺調查員ZachXBT發現Bybit駭客與臭名昭著的北韓Lazaru 威脅組織之間有相關聯繫,因為攻擊者將部分被盜的 Bybit資金發送到先前在Phemex、BingX和Poloniex駭客攻擊中使用的以太坊位址。(如圖所示)
圖:Phemex、BingX和Poloniex駭客攻擊中使用的以太坊位址圖
ZachXBT的發現也得到了區塊鏈情報公司TRM Labs和區塊鏈分析公司Elliptic 的證實,他們發現「Bybit駭客控制的位址與之前北韓盜竊案有關的位址之間存在大量重疊且相關性」,並分享了更多有關駭客試圖減緩追蹤嘗試的相關資訊。2024年12月,區塊鏈分析公司Chainalysis表示,北韓駭客在2024年的47 次加密貨幣搶劫中竊取約13.4億美元。