Bybit于2025年2月26日星期三发布了一份法医报告，详细说明了上周首次确认的15亿美元安全漏洞的机制。

根据安全公司Sygnia的法医报告，该攻击瞄准了Bybit的以太坊多重签名冷钱包，并与Safe{Wallet}基础设施的一个漏洞相关联。

在2025年2月21日首次发现未授权交易后，调查立即展开，结果发现恶意JavaScript代码被注入Safe{Wallet}的AWS S3桶中，从而在签名过程中更改了交易细节。

攻击者操纵了一笔交易，将资金从Bybit的冷钱包转移至一个热钱包，然后再转移到一个外部地址。

被侵犯的冷钱包被抽空，资金分散到多个地址，使得即时恢复工作变得极其困难。

Bybit黑客事件是如何发生的

对Bybit签名主机的法医分析揭示了漏洞是如何执行的。

调查人员发现，所有签名主机都缓存了来自Safe{Wallet}的恶意JavaScript资源，该资源在攻击前两天的2025年2月19日被更改。这一时机表明存在预谋。

恶意脚本仅在来自特定合约地址的交易出现时激活，包括Bybit的多签合约和另一个被怀疑属于黑客的地址。

法医团队分析了Safe{Wallet} JavaScript资源的互联网档案，并发现该脚本的合法版本在同一天被替换为受损版本。

在钱包被抽空后的两分钟，Safe{Wallet}的AWS S3桶被更新以恢复原始的非恶意JavaScript文件。

这一迅速的修改暗示了掩盖痕迹的尝试，使得调查人员更加难以确定攻击何时如何进行。

尽管如此，对所有三台签名者机器的Chrome浏览器证据的法医分析提供了攻击期间注入代码存在的确凿证据。

Bybit黑客攻击及恢复努力的内幕

区块链记录显示，这起攻击是提前策划的。2025年2月18日，黑客部署了一个包含用于未经授权提款的代码的恶意合约。

当天稍后，攻击者又部署了一个带有后门功能的合约，旨在利用Bybit的多重签名钱包。

这些合约在攻击者成功操控签名过程、升级Bybit的合约并重新引导资金之前保持静默。

当2025年2月21日执行未授权交易时，漏洞已完全运作，使得黑客得以盗取401,347个以太币以及大量的包装和质押以太坊资产。

被盗资金随后通过多个钱包地址进行系统性洗钱，使得直接追踪变得困难。

区块链法医分析追踪到了初始动作到一组地址，调查人员怀疑这些地址属于威胁行为者。

尽管如此， ongoing investigation 的持续性使得资产分散的全貌仍不清晰。

Bybit的安全基础设施本身没有显示出直接被侵犯的迹象，这进一步巩固了漏洞可能存在于Safe{Wallet}的结论。

Chainflip，一个跨链去中心化交易所（DEX），正在实施协议升级以阻止被盗资金的洗钱。

1.7.10版本的升级通过允许交易商操作如SwapKit和Rango DEX 阻止可疑的ETH和ERC-20存款来增强安全性。

对韧性的反思

这一事件促使我们认识到，即使是最强大的系统也可能被突发的漏洞所困扰。

详细报告提供了一个窗口，显示了小漏洞如何演变为重大挫折。

回顾这一案例邀请读者重新审视他们保护数字资产的方法。

这向我们发出了一个明确的信息：对我们防御的持续关注不是一种奢侈，而是一种必要。

将此时刻视为重申对在当今动态数字行业中保持适应能力的承诺的机会。

常见问题解答 (FAQs)