Safe 不 safe ? Bybit被盗事件最新进展

2025 年 2 月 21 日，加密货币交易所 Bybit 遭遇黑客攻击，导致超过 ️14 亿美元 的加密资产被盗，成为 Web3 历史上规模最大的黑客攻击事件之一。

攻击目标为 Bybit 的以太坊多重签名冷钱包，地址：

0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4

被盗资产包括️401,347 ETH、️8,000 mETH、️90,375 stETH 以及 ️15,000 cmETH。

事发后，Bybit 委托 Verichains 在其迪拜总部进行现场取证调查，以确定攻击原因、识别攻击范围和来源，并制定缓解当前及未来风险的措施。

️Verichains 于 2025 年 2 月 26 日 晚 发布了关于此事件的初步报告。

通过对事件相关主机和网络数据的取证分析，Verichains 得出以下关键发现：

1. ️恶意代码注入：对 Bybit 三个签名者（Signer）使用的设备进行检查后，发现 Safe{Wallet} 前端（app-safe.global）的 Google Chrome 缓存文件中存在恶意 JavaScript 代码。初步证据表明，该代码是通过 ️Safe{Wallet} 的 AWS S3 存储桶或 CloudFront 服务 被注入的。
2. ️注入时间与历史记录：资源修改时间和 Wayback Archive（网络历史档案）的公开记录显示，恶意 JavaScript 于 ️2025 年 2 月 19 日 15:29:25 UTC 被注入到 Safe{Wallet} 的 AWS S3 存储桶中，并在随后的攻击中触发。
3. ️代码功能：分析显示，该恶意代码的主要目的是在交易签名过程中篡改交易数据，将资金重定向至攻击者控制的地址（例如 0x96221423681A6d52E184D440a8eFCEbB105C7242）。篡改后，原始交易数据会被还原，以掩盖攻击痕迹。
4. ️针对性激活条件：恶意代码包含特定逻辑，仅在签名者地址或 Safe 地址匹配预定义目标时激活。本次攻击针对的主要是 Bybit 的多签冷钱包地址：0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4；以及一个疑似攻击者测试用的多签地址：0x19C6876E978D9F128147439ac4cd9EA2582cd141 。
5. ️攻击后清理：恶意交易执行后约 ️两分钟，即 2025 年 2 月 21 日 14:15:35 UTC 左右，Safe{Wallet} 的 AWS S3 存储桶中上传了新版本的 JavaScript 文件，删除了恶意代码，以消除直接证据。
6. ️攻击来源：初步证据指向 ️Safe{Wallet} 的 AWS 基础设施 被攻破，可能是其AWS S3 或 CloudFront 的账户/API 密钥泄露或被利用。
7. ️Bybit 基础设施安全：截至目前，取证调查未发现 Bybit 自身基础设施存在入侵或安全漏洞的迹象，攻击完全通过 Safe{Wallet} 的前端实现。

Verichains报告

️▶ 攻击时间轴

️1. 2025 年 2 月 18 日 15:39:11 UTC：

攻击者在以太坊上部署了恶意合约（地址：0x96221423681A6d52E184D440a8eFCEbB105C7242），包含恶意转移逻辑。

️2. 2025 年 2 月 18 日 18:00:35 UTC：

攻击者部署了另一个恶意合约（地址：0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516），具备提款功能。

️3. 2025 年 2 月 19 日 15:29:25 UTC：

恶意 JavaScript 被注入 Safe{Wallet} 的 AWS S3 存储桶，准备针对 Bybit 的下一次多签交易。

️4. 2025 年 2 月 21 日 14:13:35 UTC：

攻击者利用包含 Bybit CEO 在内的三个签名者（地址分别为 0x1f4eb0a903619ac168b19a82f1a6e2e426522211、0x3cc3a225769900e003e264dd4cb43e90896bc21a 和 0xe3df2cceac61b1afa311372ecc5b40a3a6585a9e）发起多签交易，将 Bybit 冷钱包的合约升级为指向恶意合约，随后通过其中的 sweepETH 和 sweepERC20 后门函数清空资金。

Verichains报告

️▶ 攻击方法

️攻击者通过以下步骤实施攻击：

• ️前端篡改：

攻击者将恶意 JavaScript 注入 Safe{Wallet} 的前端文件，影响 Bybit 签名者在 app-safe.global 上的操作。

• ️交易操纵：

恶意代码在签名过程中运行，检查签名者和 Safe 地址是否在目标列表中。若匹配（如 Bybit 冷钱包地址），则：

1. 备份原始交易数据。
2. 修改交易字段，包括将接收地址改为攻击者地址（0x96221423681A6d52E184D440a8eFCEbB105C7242）、更改操作码为恶意值（如从 0 改为 1，表示 DELEGATECALL）、插入恶意数据负载。
3. 执行或签署修改后的交易。
4. 还原原始交易数据，隐藏篡改痕迹。

• ️资金转移：

被盗资金从 Bybit 冷钱包转移至攻击者初始地址（0x47666fab8bd0ac7003bce3f5c3585383f09486e2），随后分散到多个钱包。

Verichains 报告

Verichains 报告

️▶ 攻击目标

• ️主要目标：

Bybit 的以太坊多签冷钱包（0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4）。

• ️测试目标：

攻击者控制的测试多签地址（0x19C6876E978D9F128147439ac4cd9EA2582cd141），可能用于模拟攻击流程。

• ️激活条件：

恶意代码仅在签名者或 Safe 地址匹配上述目标时触发，确保攻击的隐秘性和针对性。

️▶ 攻击后操作:

恶意交易上链后（由地址 0x0fa09c3a328792253f8dee7116848723b72a6d2e 提交），攻击者迅速在 ️2 分钟内 更新 Safe{Wallet} 的 AWS S3 存储，将恶意代码替换为正常版本，清除痕迹。

• ️攻击根本原因：取证调查表明，攻击起源于 Safe{Wallet} 的基础设施，具体为 AWS S3 或 CloudFront 服务可能因账户/API 密钥泄露而被攻破，导致恶意 JavaScript 被注入并针对 Bybit 的多签交易。
• ️Bybit 基础设施无直接漏洞：目前未发现 Bybit 自身系统被入侵的证据，攻击完全利用了 Safe{Wallet} 前端的弱点。