2025 年 2 月 21 日,加密货币交易所 Bybit 遭遇黑客攻击,导致超过 14 亿美元 的加密资产被盗,成为 Web3 历史上规模最大的黑客攻击事件之一。
攻击目标为 Bybit 的以太坊多重签名冷钱包,地址:
0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4
被盗资产包括401,347 ETH、8,000 mETH、90,375 stETH 以及 15,000 cmETH。
事发后,Bybit 委托 Verichains 在其迪拜总部进行现场取证调查,以确定攻击原因、识别攻击范围和来源,并制定缓解当前及未来风险的措施。
Verichains 于 2025 年 2 月 26 日 晚 发布了关于此事件的初步报告。
主要发现通过对事件相关主机和网络数据的取证分析,Verichains 得出以下关键发现:
- 恶意代码注入:对 Bybit 三个签名者(Signer)使用的设备进行检查后,发现 Safe{Wallet} 前端(app-safe.global)的 Google Chrome 缓存文件中存在恶意 JavaScript 代码。初步证据表明,该代码是通过 Safe{Wallet} 的 AWS S3 存储桶或 CloudFront 服务 被注入的。
- 注入时间与历史记录:资源修改时间和 Wayback Archive(网络历史档案)的公开记录显示,恶意 JavaScript 于 2025 年 2 月 19 日 15:29:25 UTC 被注入到 Safe{Wallet} 的 AWS S3 存储桶中,并在随后的攻击中触发。
- 代码功能:分析显示,该恶意代码的主要目的是在交易签名过程中篡改交易数据,将资金重定向至攻击者控制的地址(例如 0x96221423681A6d52E184D440a8eFCEbB105C7242)。篡改后,原始交易数据会被还原,以掩盖攻击痕迹。
- 针对性激活条件:恶意代码包含特定逻辑,仅在签名者地址或 Safe 地址匹配预定义目标时激活。本次攻击针对的主要是 Bybit 的多签冷钱包地址:0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4;以及一个疑似攻击者测试用的多签地址:0x19C6876E978D9F128147439ac4cd9EA2582cd141 。
- 攻击后清理:恶意交易执行后约 两分钟,即 2025 年 2 月 21 日 14:15:35 UTC 左右,Safe{Wallet} 的 AWS S3 存储桶中上传了新版本的 JavaScript 文件,删除了恶意代码,以消除直接证据。
- 攻击来源:初步证据指向 Safe{Wallet} 的 AWS 基础设施 被攻破,可能是其AWS S3 或 CloudFront 的账户/API 密钥泄露或被利用。
- Bybit 基础设施安全:截至目前,取证调查未发现 Bybit 自身基础设施存在入侵或安全漏洞的迹象,攻击完全通过 Safe{Wallet} 的前端实现。
Verichains报告
▶ 攻击时间轴
1. 2025 年 2 月 18 日 15:39:11 UTC:
攻击者在以太坊上部署了恶意合约(地址:0x96221423681A6d52E184D440a8eFCEbB105C7242),包含恶意转移逻辑。
2. 2025 年 2 月 18 日 18:00:35 UTC:
攻击者部署了另一个恶意合约(地址:0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516),具备提款功能。
3. 2025 年 2 月 19 日 15:29:25 UTC:
恶意 JavaScript 被注入 Safe{Wallet} 的 AWS S3 存储桶,准备针对 Bybit 的下一次多签交易。
4. 2025 年 2 月 21 日 14:13:35 UTC:
攻击者利用包含 Bybit CEO 在内的三个签名者(地址分别为 0x1f4eb0a903619ac168b19a82f1a6e2e426522211、0x3cc3a225769900e003e264dd4cb43e90896bc21a 和 0xe3df2cceac61b1afa311372ecc5b40a3a6585a9e)发起多签交易,将 Bybit 冷钱包的合约升级为指向恶意合约,随后通过其中的 sweepETH 和 sweepERC20 后门函数清空资金。
Verichains报告
▶ 攻击方法
攻击者通过以下步骤实施攻击:
- 前端篡改:
攻击者将恶意 JavaScript 注入 Safe{Wallet} 的前端文件,影响 Bybit 签名者在 app-safe.global 上的操作。
- 交易操纵:
恶意代码在签名过程中运行,检查签名者和 Safe 地址是否在目标列表中。若匹配(如 Bybit 冷钱包地址),则:
- 备份原始交易数据。
- 修改交易字段,包括将接收地址改为攻击者地址(0x96221423681A6d52E184D440a8eFCEbB105C7242)、更改操作码为恶意值(如从 0 改为 1,表示 DELEGATECALL)、插入恶意数据负载。
- 执行或签署修改后的交易。
- 还原原始交易数据,隐藏篡改痕迹。
- 资金转移:
被盗资金从 Bybit 冷钱包转移至攻击者初始地址(0x47666fab8bd0ac7003bce3f5c3585383f09486e2),随后分散到多个钱包。
Verichains 报告
Verichains 报告
▶ 攻击目标
- 主要目标:
Bybit 的以太坊多签冷钱包(0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4)。
- 测试目标:
攻击者控制的测试多签地址(0x19C6876E978D9F128147439ac4cd9EA2582cd141),可能用于模拟攻击流程。
- 激活条件:
恶意代码仅在签名者或 Safe 地址匹配上述目标时触发,确保攻击的隐秘性和针对性。
▶ 攻击后操作:
恶意交易上链后(由地址 0x0fa09c3a328792253f8dee7116848723b72a6d2e 提交),攻击者迅速在 2 分钟内 更新 Safe{Wallet} 的 AWS S3 存储,将恶意代码替换为正常版本,清除痕迹。
结论- 攻击根本原因:取证调查表明,攻击起源于 Safe{Wallet} 的基础设施,具体为 AWS S3 或 CloudFront 服务可能因账户/API 密钥泄露而被攻破,导致恶意 JavaScript 被注入并针对 Bybit 的多签交易。
- Bybit 基础设施无直接漏洞:目前未发现 Bybit 自身系统被入侵的证据,攻击完全利用了 Safe{Wallet} 前端的弱点。
