值得信赖的区块链资讯!
Bybit 近 15 亿美金被盗真相 :Safe{Wallet} 前端代码被篡改
作者:23pds & Thinking
编辑:Liz
背景
2 月 26 日晚间, Bybit 与 Safe 同时发布关于之前 Bybit 价值近 15 亿美金的加密货币被盗事件的安全调查公告。
Safe 方面表示:
Lazarus Group 对 Bybit 发起的针对性攻击的取证分析表明,攻击者通过入侵 Safe{Wallet} 开发人员机器,从而提交了一笔伪装的恶意交易提案,并诱导 Bybit 的 Safe 钱包 Owner 签署恶意交易,实现对 Bybit Safe 钱包的攻击。
外部安全研究人员的取证分析未发现 Safe 智能合约、前端或相关服务的源代码存在任何漏洞。事件发生后,Safe{Wallet} 团队进行了彻查,并分阶段恢复了以太坊主网上的 Safe{Wallet}。Safe{Wallet} 团队已完全重建、重新配置了所有基础设施,并轮换了所有凭证,确保完全消除了攻击媒介。待调查最终结果出炉后,Safe{Wallet} 团队将发布完整的事后分析。
Safe{Wallet} 前端仍在运行,并采取了额外的安全措施。但是,用户在签署交易时需要格外小心并保持警惕。
Bybit 方面表示:
-
攻击时间:恶意代码于 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存储桶中,并在 2025 年 2 月 21 日 Bybit 执行 multisig 交易时触发,导致资金被盗。
-
攻击方法:攻击者通过篡改 Safe{Wallet} 的前端 JavaScript 文件,注入恶意代码,修改 Bybit 的 multisig 交易,将资金重定向到攻击者地址。
-
攻击目标:恶意代码专门针对 Bybit 的 multisig 冷钱包地址及一个测试地址,仅在特定条件下激活。
-
攻击后操作:恶意交易执行后约两分钟,攻击者从 AWS S3 存储桶中移除恶意代码,以掩盖痕迹。
-
调查结论:攻击源自 Safe{Wallet} 的 AWS 基础设施(可能是 S3 CloudFront 账户/API Key 泄露或被入侵),Bybit 自身基础设施未被攻击。
美国联邦调查局(FBI) 发布公告,确认朝鲜黑客组织“TraderTraitor”(亦称 Lazarus Group)是 2 月 21 日针对 Bybit 交易所发起的黑客攻击的幕后黑手,此次攻击导致价值 15 亿美元的加密资产被盗。
回顾分析
慢雾作为外部第三方安全机构,虽然没有直接介入分析,但是我们也持续关注事情的进展。
2 月 26 日上午,慢雾安全团队内部对攻击进行复盘时,慢雾 CISO 23pds 发现自 2 月 21 日攻击发生后,Safe 开始各种修改前端等代码,于是 23pds 在 X 发布部分分析,并立即通知慢雾安全团队负责人 Thinking 关注:
https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
这个 JavaScript 代码的历史变更:
我们首先使用 urlscan 抓取 app.safe.global 近几个月来的变化,发现唯独 “_app-52c9031bfa03da47.js” 这个文件发生了变更:
于是,我们通过 archive 分析这个文件的变更:
https://web.archive.org/web/20250219172905js_/https://app.safe.global/_next/static/chunks/pages/_app-52c9031bfa03da47.js
如图所示:
匹配到本次被黑事件攻击者使用的恶意实现合约地址:0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516。
涉及的 “_app-52c9031bfa03da47.js” JavaScript 代码分析如下:
(图片来源:ScamSniffer)
整体攻击流程图
巧合的是,我们在分析的过程中,Safe 和 Bybit 昨晚刚好发布了调查报告,最终事情有了定论,这无疑是件好事。至此,可以确认此次 Bybit 价值近 15 亿美元的加密货币被盗事件是攻击者精心策划的针对性攻击。此次事件揭示了黑客对开发环境和供应链的精准打击能力,并凸显了前端代码控制权的重要性。攻击者先获取到 app.safe.global 的前端代码的控制权,然后针对 Bybit 的 Safe{Wallet} 钱包进行精准攻击。在 Bybit 的多签 Owner 使用 app.safe.global 进行签名时,让 Safe{Wallet} 的界面展示正常地址,实则在发起交易时已将交易内容替换成恶意的待签名数据,从而欺骗 Owner 签署了经过修改后的恶意待签名数据。最终,攻击者成功接管了 Bybit 的多签钱包的合约控制权,并实施盗币。
身处区块链黑暗森林,如何更好地保护加密货币资产安全呢?除了进行安全审计,还需要采取更多防御措施来降低风险,慢雾安全团队推出的 MistEye (https://misteye.io/),能够提供全面的 Web3 威胁情报和动态安全监控服务,如:加密货币 APT 情报:揭秘 Lazarus Group 入侵手法,前端代码和 DNS 变更监控,智能合约项目安全监控等。
此外,作为 Web3 项目,特别是基础设施提供方,更应确保供应链安全,更多安全建议请参考:慢雾出品|Web3 行业供应链安全指南。
比推快讯
更多 >>- Linux 基金会推出 x402 基金会,开发 AI 代理、API 和应用程序开放支付标准
- 视频|SK 集团董事长崔泰源:内存的需求会持续增加,我们的供应产能永远赶不上
- 数据:比特币现货 ETF 昨日总净流入 1.81 亿美元,贝莱德 IBIT 净流入 1.39 亿美元居首
- 韩国总统:股市急涨后需时间企稳,敦促监管部门应对杠杆 ETF 争议
- Stripe 联合 Advent 出价逾 530 亿美元拟收购 PayPal
- 韩国 KOSPI 指数日内涨 7.94%,SK 海力士现涨 12%
- Hyperliquid 上长鑫存储 7.2 美元附近买单超 590 万美元
- 抢跑长鑫存储定价再度成为市场焦点,HYPE 币价单日反弹超 6%
- 数据:市值前 1000 大加密项目中仅 67 个拥有维基百科页面
- 某鲸鱼清仓套现 CASHCAT,回报率高达 952 倍
- 某鲸鱼做空长鑫存储合约遭爆仓
- 特朗普讨论扩大对伊朗打击范围计划
- trade.xyz 上 CXMT 合约报价 7.2 美元
- RootData:MBG 将于一周后解锁价值约 326 万美元的代币
- Tradfi 再次抢先定价!长鑫科技合约受热捧,较传统市场发行价溢价近 6 倍
- ZEC 月内大涨 38%,Loracle 再度斩获千万级浮盈,多单回报率 530%
- Robinhood Chain 炒作风向转变,meme 币退潮,效用型代币起势
- 美国财政部制裁与古巴相关加密货币地址
- 疑似 Bitmine 地址从 FalconX 收到 6000 枚 ETH
- OpenAI 首款硬件是 AI 音箱:能看环境,还会逐渐了解主人
- 某巨鲸近几周囤积 7500 万美元 USDC,开始参与 Hyperliquid CXMT 竞价
- 韩国将设立战略投资账户,投资战略产业
- 数据:Circle 在 Solana 增发约 7.5 亿枚 USDC,2026 年累计增发约 690.1 亿枚
- 韩国一投资类 YouTuber 遭观众持刀袭击,疑因跟投股票巨亏引发
- Hyperliquid 订单簿出现 682.4 万美元长鑫存储 CXMT 买单,按 6 美元估值市值超工商银行
- 美国中央司令部:完成针对伊朗的新一轮打击
- Bitmine 上季度以太坊质押收入达 4570 万美元,占总营收 98%
- 高盛、摩根大通发布 Q2 财报,千亿级信贷流向加密相邻赛道
- predict.fun“梅西获得 2026 年世界杯金靴奖”概率升至 59%,24 小时上涨 25%
- 数据:Hyperliquid 平台鲸鱼当前持仓 52.42 亿美元,多空持仓比为 0.97
- 视频|Robinhood 创始人:真正的聪明钱其实是散户
- 分析:美伊正陷入霍尔木兹海峡消耗战,双方均面临时间压力
- Hyperliquid HIP-3 完成 CXMT(长鑫存储)代码拍卖,成交价 500 枚 HYPE
- 韩国券商讨论提高芯片股杠杆 ETF 的最低存款要求
- Predict.fun 世界杯冠军预测:法国出局,西班牙夺冠概率飙升至 58%
- Ansem:Meme 币是加密行业持续吸引散户的核心入口,下一步关键是沉淀长期价值
- Pump.fun 团队和投资者代币首次解锁 572.79 亿枚 PUMP,价值 8649 万美元
- Codex 和 ChatGPT Work 两天涨 200 万活跃用户
- 捷克封禁 Polymarket,欧洲第三个对该平台采取监管行动的国家
- EMURGO 因处理 SecondFi 安全事件,移交 Token2049 承办权至 Cardano 基金会
- 美国 CPI 降温提振风险资产,韩国 KOSPI 涨超 7%触发熔断
- 捷克将 Polymarket 列入非法赌博名单,要求 ISP 15 天内断网
- 预警,BarnBridge Smart Yield 旧提案存在代币授权风险,建议用户撤销相关授权
- 韩国最大加密货币交易所 Upbit 正式加入美国数字商会
- OpenAI 报告 ChatGPT 出现故障
- Hyperliquid 巨鲸再遭清算,DRAM 多单损失约 240 万美元
- 美银:SK 海力士 2028 年新增产能或仅为计划的六分之一
- Tom Lee 旗下 Bitmine 7 小时前从 FalconX 买入 6000 枚 ETH,价值 1118 万美元
- 马来西亚调查前 Coinbase CTO 创立的 Network School,涉以色列公民参与项目争议
- Ark Invest 增持 1,390 万美元 Circle 股票和 150 万美元 Block 股票
比推专栏
更多 >>观点
比推热门文章
- 视频|SK 集团董事长崔泰源:内存的需求会持续增加,我们的供应产能永远赶不上
- 数据:比特币现货 ETF 昨日总净流入 1.81 亿美元,贝莱德 IBIT 净流入 1.39 亿美元居首
- 韩国总统:股市急涨后需时间企稳,敦促监管部门应对杠杆 ETF 争议
- Stripe 联合 Advent 出价逾 530 亿美元拟收购 PayPal
- 韩国 KOSPI 指数日内涨 7.94%,SK 海力士现涨 12%
- 比特币下跌的隐藏地雷:部分企业BTC贷款清算期缩短至12小时”
- Hyperliquid 上长鑫存储 7.2 美元附近买单超 590 万美元
- 抢跑长鑫存储定价再度成为市场焦点,HYPE 币价单日反弹超 6%
- 数据:市值前 1000 大加密项目中仅 67 个拥有维基百科页面
- 某鲸鱼清仓套现 CASHCAT,回报率高达 952 倍
比推 APP


