Safe錢包不Safe？速覽Bybit取證調查報告

Sygnia受Bybit委託進行取證調查，確定攻擊的根本原因，目標是識別攻擊範圍和來源，並減輕當前和未來的風險。

Bybit於2月21日遭駭客攻擊，損失近15億美元，成為Web3史上最大的駭客攻擊案件，今日（2月26日）Sygnia發佈了該起事件的初步報告，以下為報告中文翻譯。

背景

2025年2月21日星期五，Bybit檢測到涉及其一個ETH冷錢包的未授權活動。事件發生在通過Safe{Wallet}從冷錢包向熱錢包進行ETH多重簽名交易時，威脅者介入並操縱了該交易。威脅者設法獲得了受影響冷錢包的控制權，並將其持有的資產轉移到他們控制的錢包中。

Sygnia受Bybit委託進行取證調查，確定攻擊的根本原因，目標是識別攻擊範圍和來源，並減輕當前和未來的風險。

主要發現：

目前為止，取證調查突出顯示以下發現：

對所有用於發起和簽署交易的主機的取證調查發現，在Safe{Wallet}的AWS S3存儲桶中的資源被注入了惡意JavaScript程式碼。
資源修改時間和公開可用的網絡歷史檔案表明，惡意程式碼的注入是直接在Safe{Wallet}的AWS S3存儲桶中進行的。
對注入的JavaScript程式碼的初步分析表明，其主要目的是操縱交易，在簽名過程中有效地更改交易內容。
此外，對注入JavaScript程式碼的分析發現了一個啟動條件，該條件僅在交易來源匹配兩個合約地址之一時才會執行：Bybit的合約地址和一個現時未識別的合約地址（可能與威脅者控制的測試合約相關）。
在惡意交易執行並發佈後兩分鐘，新版本的JavaScript資源被上傳到Safe{Wallet}的AWS S3存儲桶。這些更新版本已删除了惡意程式碼。
初步發現表明攻擊源自Safe{Wallet}的AWS基礎設施。
到目前為止，取證調查未發現Bybit基礎設施有任何被入侵的迹象。

科技發現

在對用於發起和簽署交易的主機進行取證調查期間，發現了以下結果：

Chrome瀏覽器緩存

對Chrome瀏覽器緩存檔案的取證分析在所有三個簽名者的主機上識別出在交易簽名時創建的包含JavaScript資源的緩存檔案

Safe錢包不Safe？速覽Bybit取證調查報告插图1

緩存檔案的內容顯示，2025年2月21日從Safe{Wallet}的AWS S3存儲桶提供的資源最後一次修改時間是在2025年2月19日，即惡意交易發生的兩天前。

Safe錢包不Safe？速覽Bybit取證調查報告插图3

惡意JavaScript注入

在Chrome瀏覽記錄中發現的JavaScript程式碼內容顯示了威脅者引入的惡意修改。對注入程式碼的初步分析突出顯示該程式碼旨在修改交易內容。

Safe錢包不Safe？速覽Bybit取證調查報告插图5

Safe錢包不Safe？速覽Bybit取證調查報告插图7

Safe{Wallet} AWS S3存儲桶當前狀態

Safe{Wallet}當前通過其AWS S3存儲桶提供的資源不包含在Chrome緩存檔案中識別的惡意程式碼。

調查確定JavaScript資源在2025年2月21日14:15:13和14:15:32 UTC被修改-大約在惡意交易執行後兩分鐘。

Safe錢包不Safe？速覽Bybit取證調查報告插图9

Safe錢包不Safe？速覽Bybit取證調查報告插图11

Safe{Wallet}互聯網檔案

使用公共網絡檔案對Safe{Wallet}資源的進一步分析發現了2025年2月19日拍攝的兩個Safe{Wallet} JavaScript資源快照。對這些快照的審查顯示，第一個快照包含原始的合法Safe{Wallet}程式碼，而第二個快照包含帶有惡意JavaScript程式碼的資源。這進一步表明，創建惡意交易的惡意程式碼直接來自Safe{Wallet}的AWS基礎設施。

Safe錢包不Safe？速覽Bybit取證調查報告插图13