加密貨幣交易所 Bybit 此前被黑客盜取價(jià)值約 14 億美元的以太坊，被盜的以太坊位于 Bybit 的倉(cāng)庫(kù)錢包中，倉(cāng)庫(kù)錢包使用多重簽名錢包平臺(tái) SafeWallet。

在盜竊事件發(fā)生后多名加密貨幣領(lǐng)域的研究人員無法搞清楚黑客如何實(shí)現(xiàn)的攻擊，畢竟黑客不太可能同時(shí)控制 Bybit 的錢包管理者進(jìn)行簽名。

不過最新調(diào)查結(jié)果顯示此次攻擊與 Bybit 完全沒有關(guān)系，出現(xiàn)安全問題的是 SafeWallet 錢包，實(shí)際上朝鮮黑客集團(tuán) Lazarus Group 早已實(shí)現(xiàn)了入侵，只不過在等待機(jī)會(huì)只對(duì)高價(jià)值目標(biāo)實(shí)現(xiàn)攻擊。

研究人員稱此次攻擊專門針對(duì) Bybit 這個(gè)高價(jià)值目標(biāo)，黑客將惡意 JavaScript 腳本注入到 Bybit 簽名者可以訪問的 app.safe.global，而有效的惡意腳本僅在滿足某些條件時(shí)才會(huì)激活，這種選擇性執(zhí)行確保后門不會(huì)被普通用戶發(fā)現(xiàn)。

根據(jù)對(duì) Bybit 簽名者機(jī)器的調(diào)查結(jié)果以及通過互聯(lián)網(wǎng)檔案館的網(wǎng)站時(shí)光機(jī) (Wayback Archive) 進(jìn)行回溯，研究人員發(fā)現(xiàn)被緩存的惡意 JavaScript 腳本，研究人員得出強(qiáng)烈結(jié)論：Safe.Global 在 Amazon AWS S3 或 AWS CloudFront 的賬戶或 API 可能泄露或被盜用。

在這種情況下黑客可以借助賬號(hào)或 API 修改 S3 或 CloudFront (AWS 提供的 CDN 服務(wù)) 從而添加惡意腳本，研究人員也從 SafeWallet 的 AWS S3 存儲(chǔ)桶中發(fā)現(xiàn)了針對(duì) Bybit 的以太坊多重簽名冷錢包惡意代碼。

SafeWallet 發(fā)布聲明稱，對(duì) Lazarus Group 針對(duì) Bybit 發(fā)起的攻擊取證調(diào)查得出結(jié)論，此次攻擊是通過受損的 SafeWallet 開發(fā)者機(jī)器實(shí)現(xiàn)的 (也就是說 SafeWallet 開發(fā)者機(jī)器被感染惡意代碼后，黑客再通過具有權(quán)限的開發(fā)者賬號(hào)添加了惡意 JavaScript 腳本)。

目前該錢包平臺(tái)已經(jīng)完全重建并重新配置了所有基礎(chǔ)設(shè)施，同時(shí)輪換了所有憑證，包括 API 密鑰等，確保攻擊媒介已被刪除并且不能在未來的攻擊中繼續(xù)使用。

另外目前研究人員并未在 SafeWallet 的智能合約或其前端和服務(wù)的源代碼中發(fā)現(xiàn)漏洞，只能說黑客預(yù)先針對(duì) SafeWallet 開發(fā)者發(fā)起攻擊確實(shí)是個(gè)天衣無縫的方案。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/