上周,加密货币交易所 Bybit 遭遇史上最大规模的黑客攻击,损失价值约 15 亿美元的 ETH。外界最初猜测问题出在 Bybit 自身的安全漏洞,但随着调查深入,真相逐渐浮出水面,最终确认是其合作伙伴多签智能合约钱包 Safe 的开发者设备遭入侵,窜改 Safe 前端所致。
真相大白:Safe 前端遭供应链攻击
根据 Bybit 与 Safe 的共同调查,漏洞原因指向了 Safe 的基础设施,而非 Bybit 内部系统。
Safe 官方声明指出,黑客组织 Lazarus Group 透过入侵一名 Safe 开发者的设备,将恶意程式码注入前端网站「app.safe.global」,成功绕过多重签名验证,并伪装成正常交易提交批准。Verichains 调查报告显示,该恶意程式码具有针对性,只有在特定条件下 (如操作 Bybit 帐户时) 才会触发,以避免影响普通用户,达到掩人耳目的效果。
该报告更进一步发现,Safe 的 AWS S3、CloudFront 帐户或 API 密钥可能已遭到泄露或盗用,导致前端档案遭到入侵替换。资安专家余弦补充,这是一起典型的供应链攻击:
骇客利用前端篡改欺骗签名者,而非直接攻破 Safe 的智能合约。
Safe 团队强调,经外部安全研究人员一致确认,Safe 的智能合约本身并无漏洞,问题完全出在开发者设备遭入侵。
本次攻击暴露了多签钱包的技术性弱点、以及供应链攻击的致命风险,更让 Safe 作为业界主流安全解决方案的可靠性遭受质疑。
社群反应:质疑、安全反思与调侃
余弦:供应链攻击敲响警钟
资安分析师余弦表示,Safe 前端被植入的恶意程式码 (指向 0xbdd0 地址) 经反编译验证,确实是盗取 Bybit 资产的关键。
这与他一开始的推测相符,认为攻击手法可能是边界网关协议 (BGP) 劫持、网域伺服器 (DNS) 劫持或供应链投毒,最终确认是后者。这与先前短短十个月内两度遭骇逾 5 千万美元的 Radiant Capital 的手法类似,他警告黑客的「入侵组合拳」技术高超:
所有依赖前端或 API 的服务都可能面临类似风险,各方须尽快升级其资产管理模型。
CZ:模糊声明引发更多质疑
币安创办人 CZ 对 Safe 的声明表示失望,认为其用词模糊,未能解答关键问题,对此提出五点质疑:
- 开发者设备如何被入侵?
- 该设备为何能直接影响 Bybit 帐户?
- 多签验证如何被绕过?
- 15 亿美元是否是 Safe 管理的最大地址?
- 其他多签钱包能从中吸取什么教训?。
同时,CZ 还幽默回应社群提问「币安有使用 Safe 服务吗」:
若币安也用 Safe,那么 Bybit 可能就不会成为目标。
产业人士:双方都有明显缺失
Polygon 资安长 Mudit Gupta 质疑,为何单单一名开发者有权限能直接更改 Safe 网站内容,且这种更改并未受到监控。
Lido Finance 策略顾问 Hasu 则认为:
Bybit 在转移如此巨额的资金时,也未能在其他独立设备上验证交易的完整性,显示其基础设施也存在不足。
另外,分析师 AB Kuai.Dong 更坦言,所有使用 Safe 服务的中小专案应感谢 Bybit,因其成为首要目标,避免了更大规模的损失;而 Safe 融资 1 亿美元,距离资方代币解锁仅剩 2 个月,也对其后续发展带来挑战。
Safe、Bybit 积极采取行动补救
如今,Safe 已积极补救,包括重建基础设施、更换凭证,并在以太坊主网逐步恢复服务,同时移除 Ledger 整合并新增交易验证机制等。
另一方面,Bybit 则宣布与 Lazarus 开战,推出赏金计划追讨资金,并号召业界合作对抗骇客。
此事件揭示了供应链攻击对加密货币生态的威胁,即便智能合约安全,前端与批准环节仍是弱点。对用户而言,签署交易时的谨慎与多层验证,也成了当前的最佳防线。
本文链接地址:https://www.wwsww.cn/btbzixun/30803.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
