Bybit 被盜事件迎來懸疑式反轉!Safe 官方前端成罪魁禍首?
如此一來,Safe 一點也不 safe 了。文章作者:0x9999in1,MetaEra
香港時間2 月 27 日凌晨,經歷歷史上最大黑客盜竊事件的 Bybit 和涉及多簽錢包的 Safe 發布了事故調查報告。這原本是一次更加詳細的調查報告,但報告中卻直接推翻了之前的初步判斷,矛頭直指 Safe 官方前端!
初始判斷:Bybit 三個簽名者前端被入侵
在 14.6 億美元的加密貨幣被盜取的當天,在 Bybit、鏈上偵探以及安全達人的綜合推斷下,認為 Bybit 被盜的主要原因是:Bybit 的以太坊冷錢包因惡意合約升級遭到朝鮮黑客組織 Lazarus Group 盜取。Bybit 採用了 Safe 多簽錢包結合硬體冷錢包,這種方案設置了 3/3 的簽名門檻,意味著必須有全部三位私鑰持有者同時授權才能執行任何資產轉移操作。所以黑客提前 3 天部署了一個帶有後門的惡意合約,當簽名者在進行日常操作時,黑客悄悄將正常的交易請求替換為他們提前部署好的惡意合約。
這其實就引發出了一個巨大的疑問:Bybit 三個簽名者的前端居然被集體篡改,但要知道,三個簽名者會涉及不同地點、不同設備、不同網路,需要在短時間內鎖定這三個簽名者,集體篡改難度也太大了!
根據 Bybit CEO Ben Zhou 在 X 直播中的回憶:多簽轉帳時其是最後一個簽名的,使用的 Ledger 設備,簽名時存在問題但是沒留意,簽名時沒顯示送達地址。目前共有 4000 筆提幣交易處在等待處理狀態。
調查結果:惡意代碼被注入 Safe 官方前端
在兩份事故調查報告中,朝鮮黑客組織 Lazarus Group 將惡意代碼注入 Safe 的前端,SafeGlobal 的 AWS S3 或 CloudFront 帳戶/API 密鑰洩露或被盜用。隨著,Safe 的伺服器被黑導致網頁被植入惡意代碼,Bybit 的 3 個簽名者都是用的 Safe 官方前端網頁,從而被篡改簽名信息後被盜。
雖然這樣的結果也會導致 Bybit 冷錢包的有被盜取的可能,但有人提出了這樣一個疑點:很多交易所都是用 safe 多簽,為什麼當天只有 Bybit 被黑了?真相就是黑客定向針對 Bybit 的 EthereumMultisig 冷錢包,因為出手機會只有一次,要盜,就要盜一筆大的。
Web3 的智能合約、Web2 的網站前端:草台班子唱戲
或許,誰能想得到官方前端網站都不安全了?這並不就是說 Safe 已經不安全了,這裡面有一些區別,Safe 本身的智能合約沒有問題,有問題的是它的前端。Safe 前端是由 Safe 團隊開發的,部署在 AWS(亞馬遜雲)上,前端網頁畢竟是一個中心化的應用,因此是有中心化的單點風險。這樣看來,在去中心化的世界裡,只要有一處是中心化的,就會存在這樣的單點風險。
作為項目方和普通用戶,如何去避免類似這一次部分中心化導致被攻擊的問題呢?推特 KOL 岳小魚給出了以下建議。
項目方需要注意三點,1、大額資產還是要用硬體錢包和多簽組合的方案,但是硬體錢包要解決盲簽的問題,每個簽名者要充分理解自己簽名的是什麼;2、要進行多方驗證,最好有一個獨立的第三方驗證者,這樣的話才能保證多簽的環節中不會因為同一問題導致風險,比如這一次事件中多簽用的是同一前端;3、長期來看還是要推動各個項目方中的所有環節都保證是去中心化的,就比如說前端要採用去中心化前端的方案,部署在一些去中心化的存儲中,比如 IPFS。
對於普通用戶,他認為盡可能不要使用中心化交易平台,做好資金隔離也非常有必要。因為交易所的錢包地址基本都是公開的,資金流也是公開的,那麼只要投入更多資源來進行攻擊,終究會有被攻破的一天。那麼,我們唯一能相信的是技術,而不是"人"或"平台"。
CZ:五大疑問質疑 Safe 的調查報告
截止目前,Safe 在社交媒體上發文表示,此次針對 Bybit 的攻擊是通過入侵 Safe {Wallet} 開發者的設備實現的,導致偽裝成合法交易的惡意交易被提交。
對於 Safe 的解釋,Binance 創始人 CZ 在社交媒體上發文表示,Safe 發布的事件報告使用模糊的語言來掩蓋了問題,直接提出了 5 個疑問:
・「破壞 Safe {Wallet} 開發者機器」是什麼意思?他們是如何破解這台特定的機器的?是社會工程、病毒等嗎?
・開發者機器如何訪問「Bybit 營運的帳戶」?一些代碼從這台開發人員機器直接部署到 prod?
・他們是如何在多個簽名者中欺騙 Ledger 驗證步驟的?是盲簽嗎?還是簽名者沒有正確驗證?
・14 億美元是使用 Safe 管理的最大地址嗎?他們為什麼不針對其他人呢?
・其他「自托管、多簽名」錢包提供商和用戶可以從中學到什麼?
未完待續
雖然外部安全研究人員的審查並未發現 Safe 智能合約或前端和服務源代碼中存在任何漏洞。但 X 平台用戶 23pds(山哥)透露,通過 Safe 在 GitHub 最新代碼的更新,發現一些有趣的前端更新……
目前,Bybit 被盜事件並沒有完全的蓋棺定論,但經過和結果也愈發清晰,MetaEra 將繼續關注並實時更新。
