Bybit 被盗事件迎来悬疑式反转!Safe 官方前端成罪魁祸首?
如此一来,Safe 一点也不 safe 了。文章作者:0x9999in1,MetaEra
香港时间2 月 27 日凌晨,经历史上最大黑客盗窃事件的 Bybit 和涉及多签钱包的 Safe 发布了事故调查报告。这原本是一次更加详细的调查报告,但报告中却直接推翻了之前的初步判断,矛头直指 Safe 官方前端!
初始判断:Bybit 三个签名者前端被入侵
在 14.6 亿美元的加密货币被盗取的当天,在 Bybit、链上侦探以及安全达人的综合推断下,认为 Bybit 被盗的主要原因是:Bybit 的以太坊冷钱包因恶意合约升级遭到朝鲜黑客组织 Lazarus Group 盗取。Bybit 采用了 Safe 多签钱包结合硬件冷钱包,这种方案设置了 3/3 的签名门槛,意味着必须有全部三位私钥持有者同时授权才能执行任何资产转移操作。所以黑客提前 3 天部署了一个带有后门的恶意合约,当签名者在进行日常操作时,黑客悄悄将正常的交易请求替换为他们提前部署好的恶意合约。
这其实就引发出了一个巨大的疑问:Bybit 三个签名者的前端居然被集体篡改,但要知道,三个签名者会涉及不同地点、不同设备、不同网络,需要在短时间内锁定这 三个签名者,集体篡改难度也太大了!
根据 Bybit CEO Ben Zhou 在 X 直播中的回忆:多签转账时其是最后一个签名的,使用的 Ledger 设备,签名时存在问题但是没留意,签名时没显示送达地址。目前共有 4000 笔提币交易处在等待处理状态。
调查结果:恶意代码被注入 Safe 官方前端
在两份事故调查报告中,朝鲜黑客组织 Lazarus Group 将恶意代码注入 Safe 的前端,SafeGlobal 的 AWS S3 或 CloudFront 帐户/API 密钥泄露或被盗用。随着,Safe 的服务器被黑导致网页被植入恶意代码,Bybit 的 3 个签名者都是用的 Safe 官方前端网页,从而被篡改签名信息后被盗。
虽然这样的结果也会导致 Bybit 冷钱包的有被盗取的可能,但有人提出了这样一个疑点:很多交易所都是用 safe 多签,为什么当天只有 Bybit 被黑了?真相就是黑客定向针对 Bybit 的 EthereumMultisig 冷钱包,因为出手机会只有一次,要盗,就要盗一笔大的。
Web3 的智能合约、Web2 的网站前端:草台班子唱戏
或许,谁能想得到官方前端网站都不安全了?这并不就是说 Safe 已经不安全了,这里面有一些区别,Safe 本身的智能合约没有问题,有问题的是它的前端。Safe 前端是由 Safe 团队开发的,部署在 AWS(亚马逊云)上,前端网页毕竟是一个中心化的应用,因此是有中心化的单点风险。这样看来,在去中化的世界里,只要有一处是中心化的,就会存在这样的单点风险。
作为项目方和普通用户,如何去避免类似这一次部分中心化导致被攻击的问题呢?推特 KOL 岳小鱼给出了以下建议。
项目方需要注意 三 点,1、大额资产还是要用硬件钱包和多签组合的方案,但是硬件钱包要解决盲签的问题,每个签名者要充分理解自己签名的是什么;2、要进行多方验证,最好有一个独立的第三方验证者,这样的话才能保证多签的环节中不会因为同一问题导致风险,比如这一次事件中多签用的是同一前端;3、长期来看还是要推动各个项目方中的所有环节都保证是去中心化的,就比如说前端要采用去中心化前端的方案,部署在一些去中心化的存储中,比如 IPFS。
对于普通用户,他认为尽可能不要使用中心化交易平台,做好资金隔离也非常有必要。因为交易所的钱包地址基本都是公开的,资金流也是公开的,那么只要投入更多资源来进行攻击,终究会有被攻破的一天。那么,我们唯一能相信的是技术,而不是“人”或“平台”。
CZ:五大疑问质疑 Safe 的调查报告
截止目前,Safe 在社交媒体上发文表示,此次针对 Bybit 的攻击是通过入侵 Safe {Wallet} 开发者的设备实现的,导致伪装成合法交易的恶意交易被提交。
对于 Safe 的解释,Binance 创始人 CZ 在社交媒体上发文表示,Safe 发布的事件报告使用模糊的语言来掩盖了问题,直接提出了 5 个疑问:
・「破坏 Safe {Wallet} 开发者机器」是什么意思?他们是如何破解这台特定的机器的?是社会工程、病毒等吗?
・开发者机器如何访问「Bybit 运营的账户」?一些代码从这台开发人员机器直接部署到 prod?
・他们是如何在多个签名者中欺骗 Ledger 验证步骤的?是盲签吗?还是签名者没有正确验证?
・14 亿美元是使用 Safe 管理的最大地址吗?他们为什么不针对其他人呢?
・其他「自托管、多签名」钱包提供商和用户可以从中学到什么?
未完待续
虽然外部安全研究人员的审查并未发现 Safe 智能合约或前端和服务源代码中存在任何漏洞。但 X 平台用户 23pds(山哥)透露,通过 Safe 在 GitHub 最新代码的更新,发现一些有趣的前端更新……
目前,Bybit 被盗事件并没有完全的盖棺定论,但经过和结果也愈发清晰,MetaEra 将继续关注并实时更新
