事態が逆転し、Bybitが15億ドル盗まれたのはSafeプロトコルの開発者が侵入されたためだった。

著者：吴说区块链

外部からの疑問が多い中、Bybitがどのように複数の署名者を攻撃されたのか、2月26日の夜にBybitとSafeが同時に発表を行った。

Safeは、Lazarus GroupによるBybitへの標的攻撃の証拠調査の結果、Bybitに対するSafeへの攻撃は侵入されたSafe{Wallet}開発者のマシンを通じて実行されたものであり、偽装された悪意のある取引を引き起こしたと述べた。Lazarusは、開発者の資格情報に対する複雑なソーシャルエンジニアリング攻撃で知られる、政府に支援された北朝鮮のハッカー組織であり、時にはゼロデイ脆弱性を組み合わせることもある。

外部のセキュリティ研究者の証拠調査では、Safeのスマートコントラクトやフロントエンド、サービスのソースコードに脆弱性が存在することは示されなかった。最近の事件の後、Safe{Wallet}チームは徹底的な調査を行い、段階的にイーサリアムメインネット上のSafe{Wallet}を復旧させた。Safe{Wallet}チームはすべてのインフラを完全に再構築、再設定し、すべての資格情報をローテーションして、攻撃の媒介を完全に排除した。調査の最終結果を待った後、Safe{Wallet}チームは完全な事後分析を発表する予定である。

Safe{Wallet}のフロントエンドは引き続き稼働しており、追加のセキュリティ対策が講じられている。しかし、ユーザーは取引に署名する際に特に注意を払い、警戒を怠らない必要がある。

Bybitは次のように述べている：

攻撃時間：悪意のあるコードは2025年2月19日にSafe{Wallet}のAWS S3バケットに注入され、2025年2月21日にBybitがマルチシグ取引を実行した際にトリガーされ、資金が盗まれた。

攻撃方法：攻撃者はSafe{Wallet}のフロントエンドJavaScriptファイルを改ざんし、悪意のあるコードを注入してBybitのマルチシグ取引を変更し、資金を攻撃者のアドレスにリダイレクトした。

攻撃対象：悪意のあるコードはBybitのマルチシグコールドウォレットアドレスおよび特定の条件下でのみアクティブ化されるテストアドレスを特に狙った。攻撃後の操作：悪意のある取引が実行された約2分後、攻撃者はAWS S3バケットから悪意のあるコードを削除し、痕跡を隠蔽した。

調査結論：攻撃はSafe{Wallet}のAWSインフラストラクチャ（おそらくS3 CloudFrontアカウント/APIキーの漏洩または侵入）から発生し、Bybit自体のインフラストラクチャは攻撃されなかった。

Safeマルチシグウォレットは、ブロックチェーンのスマートコントラクトに基づく暗号通貨ウォレットであり、マルチシグネチャ（Multisig）メカニズムを通じて資産を管理する。これの核心は、複数の事前定義された署名者（例えば、3人中2人、または5人中3人、M/Nメカニズムと呼ばれる）が共同で承認しなければ取引を実行できないというものである。ウォレット自体はブロックチェーン上に展開されたコントラクトであり、所有者のアドレスと署名の閾値を記録し、取引は十分な署名が集まった後にコントラクトによって検証され、実行される。その技術的原理は楕円曲線デジタル署名アルゴリズム（ECDSA）に依存しており、署名者はプライベートキーで取引に署名し、コントラクトはパブリックキーで検証する。取引提案は最初にコントラクトに保存され、署名が集まった後にブロックチェーンに提出されて実行され、アカウント復元機能などの柔軟な拡張をサポートする。

PolygonのMudit Guptaは、なぜ開発者が最初からSafeの生産サイトの内容を変更する権限を持っていたのか、また変更に対する監視がなぜ行われなかったのかを疑問視した。

Binanceの創業者CZは、他の業界参加者を批判することは通常ないが、Safeが問題を隠すために曖昧な言葉を使っていると述べた。「Safe{Wallet}開発者のマシンが侵入された」とはどういう意味か？彼らはどのようにこの特定のマシンに侵入したのか？ソーシャルエンジニアリング、ウイルスなどか？開発者のマシンは「Bybitが運営するアカウント」にどのようにアクセスしたのか？一部のコードはこの開発者のマシンから直接生産環境にデプロイされたのか？彼らはどのようにして複数の署名者のLedger検証ステップを欺いたのか？ブラインド署名か？それとも署名者が正しく検証しなかったのか？14億ドルはSafeで管理されている最大のアドレスなのか？なぜ他の人を狙わなかったのか？他の「自己管理型マルチシグ」ウォレットプロバイダーやユーザーは何を学ぶべきか？さらにCZはBinanceもSafeを使用して資産を保存していることを否定した。

SlowMistの余弦は、Safeのスマートコントラクト部分には問題がない（チェーン上で簡単に検証できる）が、フロントエンドが改ざんされて偽造され、欺瞞の効果を達成したと述べた。なぜ改ざんされたのかについては、Safeの公式の詳細が公開されるのを待つ。Safeは一種のセキュリティインフラストラクチャと見なされており、理論的にはこのマルチシグウォレットを使用するすべての人がBybitのように盗まれる可能性がある。考えれば考えるほど恐ろしいのは、他のすべてのフロントエンド、APIなどのユーザーインタラクションサービスもこのようなリスクを抱えている可能性がある。これはクラシックなサプライチェーン攻撃でもある。巨額の資産のセキュリティ管理モデルは大幅なアップグレードが必要である。もしSafeのフロントエンドが基本的なSRI検証を行っていれば、このjsが改ざんされても問題はなかっただろう。余弦は、もしそのSafeの開発者が北朝鮮の工作員であったなら、彼も驚かないだろうと述べた。

GCCの主宰者コンスタンティンは、これは業界にとって重大な打撃であり、いわゆる分散型の公共財は、単一のリスクが数人の普通の契約フロントエンド開発者にさえ存在し、ほとんど安全性がないと述べた。Safeの他にも、多くのWeb3オープンソース依存関係が同様のサプライチェーン攻撃のリスクを抱えており、それらはリスク管理が弱いだけでなく、伝統的なインターネットインフラに大きく依存して安全を確保している。

Hasuは、Safeのフロントエンドが侵入されたものであり、Bybitのインフラストラクチャが侵入されたわけではないが、Bybitのインフラストラクチャも最終的にかなり単純なハッキング攻撃を防ぐには不十分であると述べた。10億ドル以上の資金を移動する際に、隔離された別のマシンでメッセージの完全性を検証しない理由はない。

Mingdaoは、核心は大額資金の署名取引は常にオフラインのコンピュータで生成されるべきであると述べた。取引を発起する側のマルチシグ署名者がオフラインで署名し、ネットワークに接続されたコンピュータを通じて放送すれば、他の人がどのように署名しても問題はない。すべてのマルチシグ署名者がネットワークに接続されたコンピュータ上で裸で動作し、ネットワーク接続されたウェブページを通じて取引を生成する場合、このコールドウォレットはホットウォレットになってしまう。これはSafeの責任ではなく、結局のところ、彼らは資金を管理していない。ただ不幸にも信頼の中心点になってしまった。

Vitalikも、彼自身の90%の資産はSafeのマルチシグで保管されていると述べた。

Wintermuteの創業者は、Bybitのセキュリティ対策が完璧であるわけではない（彼らはおそらくSAFEプロトコルの最大のマルチシグアカウントを使用している可能性がある）と述べた。もし彼らがFireblocksやFordefiなどのソリューションを使用し、特に単純な資金移動を処理する際に他の対策と組み合わせていれば、より合理的であったかもしれない。