加密貨幣交易所Bybit近期發現其以太坊冷錢包遭到未經授權的活動，導致了一次重大安全漏洞。事件發生在通過Safe{Wallet}進行的ETH多簽交易過程中，攻擊者介入并篡改了交易，最終從交易所的冷錢包中轉走了超過40萬枚ETH。

此次攻擊展示了前所未有的復雜手段，涉及macOS惡意軟件投放、AWS云基礎設施入侵以及智能合約操縱等多個安全領域。美國聯邦調查局（FBI）將此次攻擊歸咎于“TradeTraitor”，即臭名昭著的拉撒路集團（Lazarus Group），該組織與朝鮮有關，并曾多次實施加密貨幣盜竊。

攻擊的初始階段

根據Sygnia研究人員的調查，最早的惡意活動始于2025年2月4日，當時一位Safe{Wallet}開發者的macOS工作站通過社會工程學手段被攻陷。開發者下載了一個名為“MC-Based-Stock-Invest-Simulator-main”的可疑Docker項目，該項目隨即與一個惡意域名進行通信。

在2月5日至2月17日期間，攻擊者在竊取開發者工作站的AWS憑證后，開始在Safe{Wallet}的AWS基礎設施內進行操作。為了避免被發現，攻擊者將活動時間與開發者的工作時間保持一致。

2月19日，攻擊者對托管在Safe{Wallet} AWS S3存儲桶中的JavaScript資源進行了修改。

惡意JavaScript代碼（來源：Sygnia）

這些修改的目的在于注入惡意代碼，專門用于操縱Bybit冷錢包地址的交易。

技術執行細節

攻擊的技術執行涉及將合法的交易負載替換為對預先部署的惡意智能合約的委托調用（delegate call）。通過這種機制，攻擊者能夠將錢包的實現替換為包含“sweepETH”和“sweepERC20”功能的惡意版本。這些功能使得資金轉移無需通過標準的多簽批準流程。

惡意代碼中還包含了一個針對特定合約地址的激活條件，以及對交易驗證的篡改，旨在繞過安全檢查。

Anchain對Bybit攻擊字節碼的反向工程（來源：Sygnia）

Anchain對攻擊字節碼的反向工程揭示了攻擊者實現的四個惡意智能合約功能。在完成資金轉移僅兩分鐘后，攻擊者從Safe{Wallet}的Web界面中刪除了惡意JavaScript代碼，試圖掩蓋其行蹤。

Bybit此次事件為行業取證透明度樹立了新標桿，調查結果的詳細披露將有助于行業開發更有效的防御措施，以應對未來類似的攻擊。