主要观点总结
安全研究人员发现朝鲜Lazarus黑客通过入侵多sig钱包平台SafeWallet的开发人员设备,从Bybit窃取了15亿美元。Sygnia和Verichains的两项调查揭示了攻击源自SafeWallet的基础设施,并通过向app.safe注入恶意JavaScript专门针对Bybit。攻击具有选择性,确保后门不被普通用户发现,同时危及高价值目标。根据调查结果,Sygnia认为AWS S3账户或安全的API密钥可能已被泄露或受损。SafeWallet团队已恢复服务并增加了安全措施。尽管未发现智能合约或服务的源代码存在漏洞,但用户仍需保持警惕。
关键观点总结
关键观点1: 黑客入侵SafeWallet开发人员设备窃取资金
朝鲜Lazarus黑客入侵了SafeWallet开发人员的设备,借此发起了针对Bybit的攻击,并成功窃取了大量资金。
关键观点2: 攻击通过注入恶意JavaScript进行
攻击者通过向app.safe注入恶意JavaScript来实施攻击,这种选择性执行确保了后门不被普通用户发现,同时危及高价值目标。
关键观点3: AWS账户可能泄露或受损
Sygnia调查发现,恶意JavaScript代码上传自SafeWallet的AWS S3桶,用于将Bybit的加密资产重定向到攻击者控制的钱包。事件后调查发现AWS S3账户或安全的API密钥可能已被泄露或受损。
关键观点4: SafeWallet团队已采取措施恢复服务
SafeWallet团队已经恢复了服务,并采取了额外的安全措施,包括增强的监控警报和对交易散列、数据和签名的额外验证。他们还完全重建和重新配置了所有基础设施,并旋转了所有凭据,以确保攻击向量已被删除。
关键观点5: 用户应保持警惕
尽管外部安全研究人员进行的取证审查没有发现智能合约或其前端和服务的源代码存在漏洞,但用户仍需要保持警惕,以确保交易安全。
文章预览
安全研究人员发现, 朝鲜 Lazarus 黑客在入侵多sig钱包平台Safe{wallet}的开发人员设备后,从Bybit窃取了15亿美元。 Bybit首席执行官分享了Sygnia和Verichains的两项调查的结论,这两项调查都发现攻击源自Safe{Wallet}的基础设施。此次攻击通过向app.safe注入恶意JavaScript专门针对Bybit。 global,由Bybit的签名者访问,有效载荷被设计为只有在满足某些条件时才会激活。这种选择性执行确保了后门不被普通用户发现,同时危及高价值目标。 根据对Bybit签署人机器的调查结果以及在Wayback Archive上发现的缓存恶意JavaScript有效负载, Sygnia 认为AWS S3或CloudFront帐户/安全的API密钥。环球公司很可能被泄露或受损。 “在恶意交易执行并发布两分钟后,新版本的JavaScript资源被上传到Safe{Wallet}的AWS S3桶中。这些更新版本已经删除了恶意代码。”Sygnia补充道。 Sygnia还发现,恶意JavaSc
………………………………
