バイビットによる約15億ドルの窃盗の真実

外部のセキュリティ研究者によるフォレンジック分析では、Safeスマートコントラクト、フロントエンド、関連サービスのソースコードに脆弱性は確認されませんでした。インシデント発生後、Safe{Wallet}チームは徹底的な調査を行い、段階的にイーサリアムのメインネットワーク上でSafe{Wallet}を復旧させました。Safe{Wallet}チームは完全に再構築し、すべてのインフラを再構成し、すべての認証情報をローテーションして、攻撃ベクトルが完全に排除されたことを確認しました。Safe{Wallet}チームは、調査の最終結果が出次第、完全な事後分析を発表する予定です。

Safe{Wallet}のフロントエンドは、追加のセキュリティ対策が施された状態でまだ稼働しています。

セーフ{ウォレット}のフロントエンドは、追加のセキュリティ対策が施され、まだ稼働しています。

Bybit社は次のように述べています:

• 攻撃された時間:。悪質なコードは2025年2月19日にSafe{Wallet}のAWS S3ストレージバケットに注入され、2025年2月21日にBybitがマルチシグトランザクションを実行したときにトリガーされました。

• 手法:攻撃者はSafe{Wallet}のフロントエンドJavaScriptファイルを改ざんすることで悪意のあるコードを注入し、Bybitのマルチシグトランザクションを変更し、資金を攻撃者のアドレスにリダイレクトしました。攻撃者のアドレス。

• ターゲット:悪意のあるコードは、特にBybitのマルチシグCold Walletアドレスとテストアドレスをターゲットにしており、特定の条件下でのみ有効化されます。

• 攻撃後の行動:悪意のあるトランザクションが実行された約2分後、攻撃者は痕跡を消すためにAWS S3ストレージバケットから悪意のあるコードを削除しました。

• 調査結果:この攻撃は、Safe{Wallet}のAWSインフラ（おそらく侵害されたか、侵害されたS3 CloudFrontアカウント/APIキー）とBybit自身のインフラから発生しました。Bybit自身のインフラは攻撃されていません。

米国連邦捜査局（FBI）は、Bybitが攻撃を受けていることを明らかにしました。米連邦捜査局（FBI）は、15億ドル相当の暗号資産が盗まれた2月21日のBybit取引所に対するハッキングの背後に、北朝鮮のハッカー集団「TraderTraitor」（別名Lazarus Group）がいると特定する発表を行いました。

レビューと分析

レビューと分析

外部の第三者セキュリティ組織であるスローフォグは、分析には直接関与していませんが、監視を続けています。

2月26日の朝、スローフォッグのセキュリティチームが社内で攻撃を検証していたところ、スローフォッグのCISOである23pdsが、2月21日の攻撃以降、セーフがフロントエンドやその他のコードを様々な方法で修正し始めていることを発見しました。ヘッドシンキングコンサーン:

https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js

このJavaScriptコードの変更履歴: