加密货币交易所 Bybit 此前被黑客盗取价值约 14 亿美元的以太坊,被盗的以太坊位于 Bybit 的仓库钱包中,仓库钱包使用多重签名钱包平台 SafeWallet。在盗窃事件发生后多名加密货币领域的研究人员无法搞清楚黑客如何实现的攻击,毕竟黑客不太可能同时控制 Bybit 的钱包管理者进行签名。
不过最新调查结果显示此次攻击与 Bybit 完全没有关系,出现安全问题的是 SafeWallet 钱包,实际上朝鲜黑客集团 Lazarus Group 早已实现了入侵,只不过在等待机会只对高价值目标实现攻击。
研究人员称此次攻击专门针对 Bybit 这个高价值目标,黑客将恶意 JavaScript 脚本注入到 Bybit 签名者可以访问的 app.safe.global,而有效的恶意脚本仅在满足某些条件时才会激活,这种选择性执行确保后门不会被普通用户发现。
根据对 Bybit 签名者机器的调查结果以及通过互联网档案馆的网站时光机 (Wayback Archive) 进行回溯,研究人员发现被缓存的恶意 JavaScript 脚本,研究人员得出强烈结论:Safe.Global 在 Amazon AWS S3 或 AWS CloudFront 的账户或 API 可能泄露或被盗用。
在这种情况下黑客可以借助账号或 API 修改 S3 或 CloudFront (AWS 提供的 CDN 服务) 从而添加恶意脚本,研究人员也从 SafeWallet 的 AWS S3 存储桶中发现了针对 Bybit 的以太坊多重签名冷钱包恶意代码。
SafeWallet 发布声明称,对 Lazarus Group 针对 Bybit 发起的攻击取证调查得出结论,此次攻击是通过受损的 SafeWallet 开发者机器实现的 (也就是说 SafeWallet 开发者机器被感染恶意代码后,黑客再通过具有权限的开发者账号添加了恶意 JavaScript 脚本)。
目前该钱包平台已经完全重建并重新配置了所有基础设施,同时轮换了所有凭证,包括 API 密钥等,确保攻击媒介已被删除并且不能在未来的攻击中继续使用。
另外目前研究人员并未在 SafeWallet 的智能合约或其前端和服务的源代码中发现漏洞,只能说黑客预先针对 SafeWallet 开发者发起攻击确实是个天衣无缝的方案。
