加密貨幣交易所 Bybit 此前被駭客盜取價值約 14 億美元的以太坊,被盜的以太坊位於 Bybit 的倉庫錢包中,倉庫錢包使用多重簽名錢包平臺 SafeWallet。
在盜竊事件發生後多名加密貨幣領域的研究人員無法搞清楚駭客如何實現的攻擊,畢竟駭客不太可能同時控制 Bybit 的錢包管理者進行簽名。
不過最新調查結果顯示此次攻擊與 Bybit 完全沒有關係,出現安全問題的是 SafeWallet 錢包,實際上朝鮮駭客集團 Lazarus Group 早已實現了入侵,只不過在等待機會只對高價值目標實現攻擊。
研究人員稱此次攻擊專門針對 Bybit 這個高價值目標,駭客將惡意 JavaScript 指令碼注入到 Bybit 簽名者可以訪問的 app.safe.global,而有效的惡意指令碼僅在滿足某些條件時才會啟用,這種選擇性執行確保後門不會被普通使用者發現。
根據對 Bybit 簽名者機器的調查結果以及透過網際網路檔案館的網站時光機 (Wayback Archive) 進行回溯,研究人員發現被快取的惡意 JavaScript 指令碼,研究人員得出強烈結論:Safe.Global 在 Amazon AWS S3 或 AWS CloudFront 的賬戶或 API 可能洩露或被盜用。
在這種情況下駭客可以藉助賬號或 API 修改 S3 或 CloudFront (AWS 提供的 CDN 服務) 從而新增惡意指令碼,研究人員也從 SafeWallet 的 AWS S3 儲存桶中發現了針對 Bybit 的以太坊多重簽名冷錢包惡意程式碼。
SafeWallet 釋出宣告稱,對 Lazarus Group 針對 Bybit 發起的攻擊取證調查得出結論,此次攻擊是透過受損的 SafeWallet 開發者機器實現的 (也就是說 SafeWallet 開發者機器被感染惡意程式碼後,駭客再透過具有許可權的開發者賬號添加了惡意 JavaScript 指令碼)。
目前該錢包平臺已經完全重建並重新配置了所有基礎設施,同時輪換了所有憑證,包括 API 金鑰等,確保攻擊媒介已被刪除並且不能在未來的攻擊中繼續使用。
另外目前研究人員並未在 SafeWallet 的智慧合約或其前端和服務的原始碼中發現漏洞,只能說駭客預先針對 SafeWallet 開發者發起攻擊確實是個天衣無縫的方案。