loading...
币圈网(Alibtc.com)讯:加密货币交易所Bybit于21日深夜惊传遭黑价值总价值近14.7亿美元的ETH、stETH、cmETH和mETH,成为近年来损失金额最大的加密货币盗窃事件。
周六,区块链安全公司慢雾创办人余弦根据针对多签钱包的攻击手法,将幕后凶手指向在币圈恶名昭彰的北韩黑客组织Lazarus Group,并且手法与去年WazirX、Radiant Capital和DMM的被黑事件类似。
余弦对于此次事件的攻击手法攻分析道:黑客先在2月19日部署恶意合约,并在2月21日利用Bybit Safe多签冷钱包的三个owner签署,将Safe合约替换成恶意合约,并使恶意合约窜改Safe逻辑,最终调用恶意合约中的后门函数窃走Bybit多签冷钱包的资金。
而冷钱包团队One Key则补充,黑客提前三天部署好了恶意后门合约,大概率已经确认了Bybit的三位多签的电脑已被入侵,具备攻击条件。接下来在多签工作人员执行日常转帐之类的签章操作时,取代了签章内容。
“工作人员在网页看着以为是转帐之类的正常的交易——殊不知被改成了「把Safe合约升级替换为此前部署的恶意合约」的交易。于是,惨剧便发生了。”
由于Bybit是使用Safe多签钱包,再加上好几个Ledger冷钱包进行手动签署,而且这种多签方法也是以太坊共同创办人V神Vitalik先前所力荐的最安全加密资产保管方式,但最终Bybit还是被盗了,这也让加密社群开始质疑多签钱包的安全性,包括Safe在内的多签钱包协议也因此感到相当紧张。
在事件爆发后,Safe团队火速表示正与Bybit团队合作调查并停止某些功能以确保安全。Bybit反应,冷钱包UI显示正确的交易讯息,但在链上执行了具有所有有效签名的恶意交易。然而,Safe初步调查显示,没有发现任何证据表明Safe钱包前端本身受到了损害。
Safe今(24)日稍早发推宣布,将在接下来24小时内开始分阶段恢复服务,恢复后的Safe钱包将包含额外的安全措施:
对交易哈希值(Hash)、资料和签章进行额外验证
增强监控警报
暂时删除了本机Ledger整合,因为这是针对Bybit攻击中使用的签章设备/方法
“一旦恢复,由于运行额外的检查,用户可能会遇到稍长的交易时间或效能问题。像往常一样,请在签署交易时保持警惕,验证是否签署了正确的交易资料。”
不过Bybit这次事件中,最让社群和资安专家感到疑惑的点是,黑客是如何取得Bybit多签钱包的三个签名?慢雾团队也在初步调查后表示目前仍有几个疑点仍待官方调查厘清:
1.例行ETH转帐
攻击者可能事先获取了Bybit内部财务团队的操作信息,掌握了ETH多签冷钱包转帐的时间点?
透过Safe系统,诱导签署者在伪造界面上签署恶意交易?Safe的前端系统是不是被攻破并接手了?
2.Safe合约UI被窜改
签署者在Safe介面上看到的是正确的位址和URL,但实际签署的交易资料已被篡改?
关键问题在于:是谁最先发起签章请求?其设备安全性如何?
对于这起近年来最大的加密黑客攻击案件,一位匿名专家分享了他的分析与看法:Ledger冷钱包屏幕会在交易的时候显示请求,但现在主要都显示交易的代码,这大部分人都看不懂。我们通常是以交易在冷钱包上的显示时机与电脑上请求交易的时机一致来判断(即我在电脑上按了交易,冷钱包随后就跳出要求确认的讯息,我就以为是同一笔)没有办法从冷钱包屏幕上确认是否与网页或者客户端确认是同一笔交易,这让黑客有了攻击机会黑客可能是在相关电脑植入了木马,并在侦测到Bybit要转移大量金额时,在类似的时间传送了相似的交易出去,这让Bybit以为这就是他在电脑上请求的那笔交易,并在冷钱包上按了确认,才造成憾事。未来Ledger应该在交易界面上加入与电脑软件的交易验证对照功能。
需注意的是,上述观点仍是专家就目前线索的推测分析,具体情形和真相仍待Bybit与Safe提供更进一步的调查报告。
251
577
174
399
934
1010
974
732
592
169
