Safe钱包不Safe？速览Bybit取证调查报告

Bybit 于 2 月 21 日遭黑客攻击，损失近 15 亿美元，成为 Web3 史上最大的黑客攻击案件，今日（2 月 26 日） Sygnia 发布了该起事件的初步报告，以下为报告中文翻译。

背景

2025 年 2 月 21 日星期五，Bybit 检测到涉及其一个 ETH 冷钱包的未授权活动。事件发生在通过 Safe{Wallet}从冷钱包向热钱包进行 ETH 多重签名交易时，威胁者介入并操纵了该交易。威胁者设法获得了受影响冷钱包的控制权，并将其持有的资产转移到他们控制的钱包中。

Sygnia 受 Bybit 委托进行取证调查，确定攻击的根本原因，目标是识别攻击范围和来源，并减轻当前和未来的风险。

主要发现：

目前为止，取证调查突出显示以下发现：

• 对所有用于发起和签署交易的主机的取证调查发现，在 Safe{Wallet}的 AWS S3 存储桶中的资源被注入了恶意 JavaScript 代码。
• 资源修改时间和公开可用的网络历史档案表明，恶意代码的注入是直接在 Safe{Wallet}的 AWS S3 存储桶中进行的。
• 对注入的 JavaScript 代码的初步分析表明，其主要目的是操纵交易，在签名过程中有效地更改交易内容。
• 此外，对注入 JavaScript 代码的分析发现了一个激活条件，该条件仅在交易来源匹配两个合约地址之一时才会执行：Bybit 的合约地址和一个目前未识别的合约地址（可能与威胁者控制的测试合约相关）。
• 在恶意交易执行并发布后两分钟，新版本的 JavaScript 资源被上传到 Safe{Wallet}的 AWS S3 存储桶。这些更新版本已删除了恶意代码。
• 初步发现表明攻击源自 Safe{Wallet}的 AWS 基础设施。
• 到目前为止，取证调查未发现 Bybit 基础设施有任何被入侵的迹象。

技术发现

在对用于发起和签署交易的主机进行取证调查期间，发现了以下结果：

Chrome 浏览器缓存

对 Chrome 浏览器缓存文件的取证分析在所有三个签名者的主机上识别出在交易签名时创建的包含 JavaScript 资源的缓存文件

缓存文件的内容显示，2025 年 2 月 21 日从 Safe{Wallet}的 AWS S3 存储桶提供的资源最后一次修改时间是在 2025 年 2 月 19 日，即恶意交易发生的两天前。

恶意 JavaScript 注入

在 Chrome 浏览记录中发现的 JavaScript 代码内容显示了威胁者引入的恶意修改。对注入代码的初步分析突出显示该代码旨在修改交易内容。

Safe{Wallet} AWS S3 存储桶当前状态

Safe{Wallet}当前通过其 AWS S3 存储桶提供的资源不包含在 Chrome 缓存文件中识别的恶意代码。

调查确定 JavaScript 资源在 2025 年 2 月 21 日 14:15:13 和 14:15:32 UTC 被修改 - 大约在恶意交易执行后两分钟。

Safe{Wallet}互联网档案

使用公共网络档案对 Safe{Wallet}资源的进一步分析发现了 2025 年 2 月 19 日拍摄的两个 Safe{Wallet} JavaScript 资源快照。对这些快照的审查显示，第一个快照包含原始的合法 Safe{Wallet}代码，而第二个快照包含带有恶意 JavaScript 代码的资源。这进一步表明，创建恶意交易的恶意代码直接来自 Safe{Wallet}的 AWS 基础设施。

结论

对三个签名者主机的取证调查表明，攻击的根本原因是来自 Safe{Wallet}基础设施的恶意代码。

在 Bybit 的基础设施中未发现被入侵的迹象。

调查仍在继续，以进一步确认这些发现。