打開網(wǎng)易新聞 查看精彩圖片

安全研究人員發(fā)現(xiàn)，朝鮮Lazarus黑客在入侵多sig錢包平臺(tái)Safe{wallet}的開發(fā)人員設(shè)備后，從Bybit竊取了15億美元。

Bybit首席執(zhí)行官分享了Sygnia和Verichains的兩項(xiàng)調(diào)查的結(jié)論，這兩項(xiàng)調(diào)查都發(fā)現(xiàn)攻擊源自Safe{Wallet}的基礎(chǔ)設(shè)施。此次攻擊通過向app.safe注入惡意JavaScript專門針對(duì)Bybit。

global，由Bybit的簽名者訪問，有效載荷被設(shè)計(jì)為只有在滿足某些條件時(shí)才會(huì)激活。這種選擇性執(zhí)行確保了后門不被普通用戶發(fā)現(xiàn)，同時(shí)危及高價(jià)值目標(biāo)。

根據(jù)對(duì)Bybit簽署人機(jī)器的調(diào)查結(jié)果以及在Wayback Archive上發(fā)現(xiàn)的緩存惡意JavaScript有效負(fù)載，Sygnia認(rèn)為AWS S3或CloudFront帳戶/安全的API密鑰。環(huán)球公司很可能被泄露或受損。

“在惡意交易執(zhí)行并發(fā)布兩分鐘后，新版本的JavaScript資源被上傳到Safe{Wallet}的AWS S3桶中。這些更新版本已經(jīng)刪除了惡意代碼?！盨ygnia補(bǔ)充道。

Sygnia還發(fā)現(xiàn)，惡意JavaScript代碼（針對(duì)Bybit的以太坊Multisig冷錢包）來自Safe{Wallet}的AWS S3桶，用于將Bybit的加密資產(chǎn)重定向到攻擊者控制的錢包，并在2月21日攻擊前兩天被修改。事件發(fā)生后，敘利亞對(duì)Bybit的基礎(chǔ)設(shè)施進(jìn)行了調(diào)查，沒有發(fā)現(xiàn)任何被入侵的證據(jù)。

安全生態(tài)系統(tǒng)基金會(huì)在一份聲明中證實(shí)了他們的結(jié)論，該聲明透露，攻擊是通過首先入侵Safe{wallet}開發(fā)人員的機(jī)器進(jìn)行的，該機(jī)器為威脅者提供了訪問Bybit運(yùn)營的帳戶的權(quán)限。

自事件發(fā)生以來，Safe{Wallet}團(tuán)隊(duì)已經(jīng)在以太坊主網(wǎng)上恢復(fù)了Safe{Wallet}，并分階段推出，暫時(shí)刪除了本機(jī)分類帳集成，即Bybit加密搶劫中使用的簽名設(shè)備/方法。

恢復(fù)Safe{Wallet}服務(wù)的分階段推出還增加了進(jìn)一步的安全措施，包括增強(qiáng)的監(jiān)控警報(bào)和對(duì)交易散列、數(shù)據(jù)和簽名的額外驗(yàn)證。

Safe{Wallet}的團(tuán)隊(duì)表示，他們已經(jīng)完全重建和重新配置了所有基礎(chǔ)設(shè)施，并旋轉(zhuǎn)了所有憑據(jù)，以確保攻擊向量已被刪除，不能在未來的攻擊中使用。

盡管外部安全研究人員進(jìn)行的取證審查沒有發(fā)現(xiàn)外管局智能合約或其前端和服務(wù)的源代碼存在漏洞，但建議用戶在簽署交易時(shí)保持警惕。

參考及來源：https://www.bleepingcomputer.com/news/security/lazarus-hacked-bybit-via-breached-safe-wallet-developer-machine/