加密貨幣交易所Bybit近期發(fā)現(xiàn)其以太坊冷錢包遭到未經(jīng)授權(quán)的活動(dòng)，導(dǎo)致了一次重大安全漏洞。事件發(fā)生在通過(guò)Safe{Wallet}進(jìn)行的ETH多簽交易過(guò)程中，攻擊者介入并篡改了交易，最終從交易所的冷錢包中轉(zhuǎn)走了超過(guò)40萬(wàn)枚ETH。

此次攻擊展示了前所未有的復(fù)雜手段，涉及macOS惡意軟件投放、AWS云基礎(chǔ)設(shè)施入侵以及智能合約操縱等多個(gè)安全領(lǐng)域。美國(guó)聯(lián)邦調(diào)查局（FBI）將此次攻擊歸咎于“TradeTraitor”，即臭名昭著的拉撒路集團(tuán)（Lazarus Group），該組織與朝鮮有關(guān)，并曾多次實(shí)施加密貨幣盜竊。

攻擊的初始階段

根據(jù)Sygnia研究人員的調(diào)查，最早的惡意活動(dòng)始于2025年2月4日，當(dāng)時(shí)一位Safe{Wallet}開(kāi)發(fā)者的macOS工作站通過(guò)社會(huì)工程學(xué)手段被攻陷。開(kāi)發(fā)者下載了一個(gè)名為“MC-Based-Stock-Invest-Simulator-main”的可疑Docker項(xiàng)目，該項(xiàng)目隨即與一個(gè)惡意域名進(jìn)行通信。

在2月5日至2月17日期間，攻擊者在竊取開(kāi)發(fā)者工作站的AWS憑證后，開(kāi)始在Safe{Wallet}的AWS基礎(chǔ)設(shè)施內(nèi)進(jìn)行操作。為了避免被發(fā)現(xiàn)，攻擊者將活動(dòng)時(shí)間與開(kāi)發(fā)者的工作時(shí)間保持一致。

2月19日，攻擊者對(duì)托管在Safe{Wallet} AWS S3存儲(chǔ)桶中的JavaScript資源進(jìn)行了修改。

惡意JavaScript代碼（來(lái)源：Sygnia）

這些修改的目的在于注入惡意代碼，專門用于操縱Bybit冷錢包地址的交易。

技術(shù)執(zhí)行細(xì)節(jié)

攻擊的技術(shù)執(zhí)行涉及將合法的交易負(fù)載替換為對(duì)預(yù)先部署的惡意智能合約的委托調(diào)用（delegate call）。通過(guò)這種機(jī)制，攻擊者能夠?qū)㈠X包的實(shí)現(xiàn)替換為包含“sweepETH”和“sweepERC20”功能的惡意版本。這些功能使得資金轉(zhuǎn)移無(wú)需通過(guò)標(biāo)準(zhǔn)的多簽批準(zhǔn)流程。

惡意代碼中還包含了一個(gè)針對(duì)特定合約地址的激活條件，以及對(duì)交易驗(yàn)證的篡改，旨在繞過(guò)安全檢查。

Anchain對(duì)Bybit攻擊字節(jié)碼的反向工程（來(lái)源：Sygnia）

Anchain對(duì)攻擊字節(jié)碼的反向工程揭示了攻擊者實(shí)現(xiàn)的四個(gè)惡意智能合約功能。在完成資金轉(zhuǎn)移僅兩分鐘后，攻擊者從Safe{Wallet}的Web界面中刪除了惡意JavaScript代碼，試圖掩蓋其行蹤。

Bybit此次事件為行業(yè)取證透明度樹(shù)立了新標(biāo)桿，調(diào)查結(jié)果的詳細(xì)披露將有助于行業(yè)開(kāi)發(fā)更有效的防御措施，以應(yīng)對(duì)未來(lái)類似的攻擊。