加密貨幣交易所Bybit近期發(fā)現(xiàn)其以太坊冷錢包遭到未經(jīng)授權(quán)的活動，導致了一次重大安全漏洞。事件發(fā)生在通過Safe{Wallet}進行的ETH多簽交易過程中，攻擊者介入并篡改了交易，最終從交易所的冷錢包中轉(zhuǎn)走了超過40萬枚ETH。

此次攻擊展示了前所未有的復雜手段，涉及macOS惡意軟件投放、AWS云基礎(chǔ)設(shè)施入侵以及智能合約操縱等多個安全領(lǐng)域。美國聯(lián)邦調(diào)查局（FBI）將此次攻擊歸咎于“TradeTraitor”，即臭名昭著的拉撒路集團（Lazarus Group），該組織與朝鮮有關(guān)，并曾多次實施加密貨幣盜竊。

攻擊的初始階段

根據(jù)Sygnia研究人員的調(diào)查，最早的惡意活動始于2025年2月4日，當時一位Safe{Wallet}開發(fā)者的macOS工作站通過社會工程學手段被攻陷。開發(fā)者下載了一個名為“MC-Based-Stock-Invest-Simulator-main”的可疑Docker項目，該項目隨即與一個惡意域名進行通信。

在2月5日至2月17日期間，攻擊者在竊取開發(fā)者工作站的AWS憑證后，開始在Safe{Wallet}的AWS基礎(chǔ)設(shè)施內(nèi)進行操作。為了避免被發(fā)現(xiàn)，攻擊者將活動時間與開發(fā)者的工作時間保持一致。

2月19日，攻擊者對托管在Safe{Wallet} AWS S3存儲桶中的JavaScript資源進行了修改。

惡意JavaScript代碼（來源：Sygnia）

這些修改的目的在于注入惡意代碼，專門用于操縱Bybit冷錢包地址的交易。

技術(shù)執(zhí)行細節(jié)

攻擊的技術(shù)執(zhí)行涉及將合法的交易負載替換為對預先部署的惡意智能合約的委托調(diào)用（delegate call）。通過這種機制，攻擊者能夠?qū)㈠X包的實現(xiàn)替換為包含“sweepETH”和“sweepERC20”功能的惡意版本。這些功能使得資金轉(zhuǎn)移無需通過標準的多簽批準流程。

惡意代碼中還包含了一個針對特定合約地址的激活條件，以及對交易驗證的篡改，旨在繞過安全檢查。

Anchain對Bybit攻擊字節(jié)碼的反向工程（來源：Sygnia）

Anchain對攻擊字節(jié)碼的反向工程揭示了攻擊者實現(xiàn)的四個惡意智能合約功能。在完成資金轉(zhuǎn)移僅兩分鐘后，攻擊者從Safe{Wallet}的Web界面中刪除了惡意JavaScript代碼，試圖掩蓋其行蹤。

Bybit此次事件為行業(yè)取證透明度樹立了新標桿，調(diào)查結(jié)果的詳細披露將有助于行業(yè)開發(fā)更有效的防御措施，以應(yīng)對未來類似的攻擊。