Lazarus通过Safe{Wallet}开发机器入侵了Bybit

安全研究人员发现，朝鲜Lazarus黑客在入侵多sig钱包平台Safe{wallet}的开发人员设备后，从Bybit窃取了15亿美元。

Bybit首席执行官分享了Sygnia和Verichains的两项调查的结论，这两项调查都发现攻击源自Safe{Wallet}的基础设施。此次攻击通过向app.safe注入恶意JavaScript专门针对Bybit。

global，由Bybit的签名者访问，有效载荷被设计为只有在满足某些条件时才会激活。这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

根据对Bybit签署人机器的调查结果以及在Wayback Archive上发现的缓存恶意JavaScript有效负载，Sygnia认为AWS S3或CloudFront帐户/安全的API密钥。环球公司很可能被泄露或受损。

“在恶意交易执行并发布两分钟后，新版本的JavaScript资源被上传到Safe{Wallet}的AWS S3桶中。这些更新版本已经删除了恶意代码。”Sygnia补充道。

Sygnia还发现，恶意JavaScript代码（针对Bybit的以太坊Multisig冷钱包）来自Safe{Wallet}的AWS S3桶，用于将Bybit的加密资产重定向到攻击者控制的钱包，并在2月21日攻击前两天被修改。事件发生后，叙利亚对Bybit的基础设施进行了调查，没有发现任何被入侵的证据。

安全生态系统基金会在一份声明中证实了他们的结论，该声明透露，攻击是通过首先入侵Safe{wallet}开发人员的机器进行的，该机器为威胁者提供了访问Bybit运营的帐户的权限。

自事件发生以来，Safe{Wallet}团队已经在以太坊主网上恢复了Safe{Wallet}，并分阶段推出，暂时删除了本机分类帐集成，即Bybit加密抢劫中使用的签名设备/方法。

恢复Safe{Wallet}服务的分阶段推出还增加了进一步的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。

Safe{Wallet}的团队表示，他们已经完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除，不能在未来的攻击中使用。

尽管外部安全研究人员进行的取证审查没有发现外管局智能合约或其前端和服务的源代码存在漏洞，但建议用户在签署交易时保持警惕。