大反轉! Bybit被盜15億美金竟是Safe協定開發者被入侵

GuShiio.com鼔獅智能 快訊

本期編輯| GuShiio.com區塊鏈
在外界普遍疑惑Bybit如何多個簽名人都被攻破的情况下,2月26日晚間Bybit與Safe同時發佈了公告。
Safe表示,對Lazarus Group對Bybit發起的針對性攻擊的取證審查得出結論,此次針對Bybit Safe的攻擊是通過被入侵的Safe{Wallet}開發人員機器實現的,從而導致偽裝的惡意交易。 Lazarus是一個受政府支持的朝鮮駭客組織,以對開發人員憑證進行複雜的社會工程攻擊而聞名,有時還會結合零日漏洞。
外部安全研究人員的取證審查並未表明Safe智慧合約或前端和服務的原始程式碼中存在任何漏洞。 在最近的事件發生後,Safe{Wallet}團隊進行了徹底的調查,並分階段恢復了乙太坊主網上的Safe{Wallet}。 Safe{Wallet}團隊已完全重建、重新配寘了所有基礎設施,並輪換了所有憑證,確保完全消除了攻擊媒介。 等待調查的最終結果後,Safe{Wallet}團隊將發佈完整的事後分析。
Safe{Wallet}前端仍在運行,並採取了額外的安全措施。 但是,用戶在簽署交易時需要格外小心並保持警惕。
Bybit表示:
攻擊時間:惡意程式碼於2025年2月19日被注入到Safe{Wallet}的AWS S3存儲桶中,並在2025年2月21日Bybit執行multisig交易時觸發,導致資金被盜。
攻擊方法:攻擊者通過篡改Safe{Wallet}的前端JavaScript檔案,注入惡意程式碼,修改Bybit的multisig交易,將資金重定向到攻擊者地址。
攻擊目標:惡意程式碼專門針對Bybit的multisig冷錢包地址及一個測試地址,僅在特定條件下啟動。 攻擊後操作:惡意交易執行後約兩分鐘,攻擊者從AWS S3存儲桶中移除惡意程式碼,以掩蓋痕迹。
調查結論:攻擊源自Safe{Wallet}的AWS基礎設施(可能是S3 CloudFront帳戶/API Key洩露或被入侵),Bybit自身基礎設施未被攻擊。
Safe多簽錢包是一種基於區塊鏈智慧合約的加密貨幣錢包,通過多重簽名(Multisig)機制管理資產。 它的覈心是要求多個預定義簽名者(比如3個中的2個,或5個中的3個,稱為M/N機制)共同授權才能執行交易。 錢包本身是一個部署在區塊鏈上的合約,記錄所有者地址和簽名閾值,交易需收集足够簽名後由合約驗證並執行。 它的科技原理依賴橢圓曲線數位簽章算灋(ECDSA),簽名者用私密金鑰對交易簽名,合約通過公開金鑰驗證。 交易提案先存儲在合約中,收集簽名後提交區塊鏈執行,支持靈活擴展如帳戶恢復功能。
Polygon Mudit Gupta質疑,為什麼一名開發人員一開始就有權更改Safe生產網站上的內容? 此外為什麼沒有對更改進行監控?
幣安創始人CZ表示,我通常不會責備其他行業參與者,但Safe在使用模糊的語言來掩蓋問題。& ldquo; 入侵Safe {Wallet}開發人員機器” 是什麼意思? 他們是如何入侵這臺特定機器的? 是社會工程學、病毒等嗎? 開發人員機器如何訪問“ 由Bybit運營的帳戶”? 一些程式碼從這臺開發人員機器直接部署到生產環境中? 他們是如何欺騙多個簽名者的Ledger驗證步驟的? 是盲簽嗎? 還是簽名者沒有正確驗證? 14億美元是使用Safe管理的最大地址嗎? 他們為什麼不針對其他人? 其他“ 自我託管、多重簽名” 錢包提供商和用戶可以從中學到什麼教訓? 此外CZ否認幣安也使用了Safe保存資產。
慢霧余弦表示,Safe確實智慧合約部分沒問題(鏈上很容易驗證),但前端被篡改偽造達到欺騙效果。 至於為什麼被篡改,等Safe官方的細節披露。 Safe算是一種安全基礎設施,理論上所有用這個多簽錢包的人都可能會類似Bybit這樣被盜。 細思恐極的是,所有其它帶前端、API等用戶互動服務的都可能會有這種風險。 這也是一種經典的供應鏈攻擊。 巨額/大額資產的安全管理模型需要有一次大陞級。 如果Safe前端做了基本的SRI驗證,即使這個js被改了,也不會出事。 余弦表示,如果那個safe的dev就是朝鮮特工,他也不會感到意外。
GCC主理人康斯坦丁表示,這對行業是重大打擊,所謂去中心化的公共物品,單點風險甚至在幾個普通的合約前端開發人員上,幾乎毫無安全性可言。 除了safe之外,還有一大堆web3開源dependency都存在類似供應鏈攻擊的風險,它們不僅風控薄弱,還嚴重依賴傳統互聯網基建來保障安全。
Hasu表示,雖然Safe前端而非Bybit基礎設施遭到入侵,但Bybit基礎設施也不足以封锁最終相當簡單的駭客攻擊。 在轉移超過10億美元的資金時,沒有理由不在第二臺隔離機器上驗證消息完整性。
Mingdao表示,覈心在於,大額資金簽名交易應該由永久離線電腦生成。 只要發起交易方多簽人離線簽名,再通過聯網電腦廣播,其它人怎麼簽,都不會有問題。 全部多簽人裸跑在聯網電腦上,依靠聯網網頁生成交易,這冷錢包就變熱錢包了。 這不是safe的鍋,畢竟它沒託管錢。 它只是不幸成了信任的中心點。
Vitalik也曾表示,他個人90%的資產都是用Safe多簽保管。
Wintermute創始人表示,並不是說Bybit的安全措施完美無缺(看起來他們可能是使用SAF E協定的最大多簽帳戶)。 如果他們使用Fireblocks或Fordefi等解決方案,並結合其他措施,特別是在處理簡單資金轉移時,可能更合理。
閱讀更多:
Bybit被盜近15億美金人類歷史上金額最大的盜竊案朝鮮駭客是如何做到的?
歷史最大盜竊案第二日:Bybit自救與行業集體支援; 朝鮮駭客將如何變現; 反思當下的安全模式
GuShiio.com對話Bybit BEN、 Shunyet: 詳解15億美金被盜原因、救援進展、未來安排

原文網址:https://zh.gushiio.com/kuai/2989.html

讚! (0)
GuShiio.com鼔獅智能GuShiio.com鼔獅智能
0
Previous 2小时前
Next 2小时前

相关推荐

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Save my name, email, and website in this browser for the next time I comment.