安全研究人員發現，朝鮮Lazarus黑客在入侵多sig錢包平臺Safe{wallet}的開發人員設備后，從Bybit竊取了15億美元。

Bybit首席執行官分享了Sygnia和Verichains的兩項調查的結論，這兩項調查都發現攻擊源自Safe{Wallet}的基礎設施。此次攻擊通過向app.safe注入惡意JavaScript專門針對Bybit。

global，由Bybit的簽名者訪問，有效載荷被設計為只有在滿足某些條件時才會激活。這種選擇性執行確保了后門不被普通用戶發現，同時危及高價值目標。

根據對Bybit簽署人機器的調查結果以及在Wayback Archive上發現的緩存惡意JavaScript有效負載，Sygnia認為AWS S3或CloudFront帳戶/安全的API密鑰。環球公司很可能被泄露或受損。

“在惡意交易執行并發布兩分鐘后，新版本的JavaScript資源被上傳到Safe{Wallet}的AWS S3桶中。這些更新版本已經刪除了惡意代碼。”Sygnia補充道。

Sygnia還發現，惡意JavaScript代碼（針對Bybit的以太坊Multisig冷錢包）來自Safe{Wallet}的AWS S3桶，用于將Bybit的加密資產重定向到攻擊者控制的錢包，并在2月21日攻擊前兩天被修改。事件發生后，敘利亞對Bybit的基礎設施進行了調查，沒有發現任何被入侵的證據。

安全生態系統基金會在一份聲明中證實了他們的結論，該聲明透露，攻擊是通過首先入侵Safe{wallet}開發人員的機器進行的，該機器為威脅者提供了訪問Bybit運營的帳戶的權限。

自事件發生以來，Safe{Wallet}團隊已經在以太坊主網上恢復了Safe{Wallet}，并分階段推出，暫時刪除了本機分類帳集成，即Bybit加密搶劫中使用的簽名設備/方法。

恢復Safe{Wallet}服務的分階段推出還增加了進一步的安全措施，包括增強的監控警報和對交易散列、數據和簽名的額外驗證。

Safe{Wallet}的團隊表示，他們已經完全重建和重新配置了所有基礎設施，并旋轉了所有憑據，以確保攻擊向量已被刪除，不能在未來的攻擊中使用。

盡管外部安全研究人員進行的取證審查沒有發現外管局智能合約或其前端和服務的源代碼存在漏洞，但建議用戶在簽署交易時保持警惕。

參考及來源：https://www.bleepingcomputer.com/news/security/lazarus-hacked-bybit-via-breached-safe-wallet-developer-machine/