门户网站的建立,工程分包网,旅游网站建设成本核算,wordpress sendcloud事件概述
2025年2月21日UTC时间下午02:16:11#xff0c;Bybit的以太坊冷钱包#xff08;0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4#xff09;因恶意合约升级遭到资金盗取。根据Bybit CEO Ben Zhou的声明#xff0c;攻击者通过钓鱼攻击诱骗冷钱包签名者错误签署恶意交易…
事件概述
2025年2月21日UTC时间下午02:16:11Bybit的以太坊冷钱包0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4因恶意合约升级遭到资金盗取。根据Bybit CEO Ben Zhou的声明攻击者通过钓鱼攻击诱骗冷钱包签名者错误签署恶意交易。他提到该交易被伪装为合法操作Safe{Wallet}界面显示为正常交易但实际发送至Ledger设备的数据已被篡改为恶意内容。攻击者成功获取三个有效签名将Safe多签钱包的实现合约替换为恶意合约从而盗取资金。此次漏洞导致约14.6亿美元的损失成为Web3历史上最大规模的安全事件。 攻击交易记录
升级Safe钱包实现合约至恶意合约https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
从Bybit冷钱包转移资金的多笔交易
401,346 ETHhttps://etherscan.io/tx/0xb61413c495fdad6114a7aa863a00b2e3c28945979a10885b12b30316ea9f072c15,000 cmETHhttps://etherscan.io/tx/0x847b8403e8a4816a4de1e63db321705cdb6f998fb01ab58f653b863fda9886478,000 mETH https://etherscan.io/tx/0xbcf316f5835362b7f1586215173cc8b294f5499c60c029a3de6318bf25ca7b2090,375 stETH https://etherscan.io/tx/0xa284a1bc4c7e0379c924c73fcea1067068635507254b03ebbbd3f4e222c1fae090 USDT https://etherscan.io/tx/0x25800d105db4f21908d646a7a3db849343737c5fba0bc5701f782bf0e75217c9 主要地址
Bybit多签冷钱包受害者https://etherscan.io/address/0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4
攻击者初次攻击操作地址https://etherscan.io/address/0x0fa09c3a328792253f8dee7116848723b72a6d2e
恶意实现合约
https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516
Safe delegate call 过程中使用的攻击合约 https://etherscan.io/address/0x96221423681A6d52E184D440a8eFCEbB105C7242 攻击流程
1. 攻击者在攻击的三天前2025年2月18日UTC时间之前部署了两个恶意合约。
这些合约包含了资金转移的后门功能 https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516以及用于修改存储槽的代码以实现合约升级 https://etherscan.io/address/0x96221423681A6d52E184D440a8eFCEbB105C7242 2. 攻击者在2025年2月21日诱使三个多重签名钱包的所有者签名者签署恶意交易从而将Safe的实现合约升级为之前部署的含有后门的恶意合约 https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882 3. 攻击交易中的“operation”字段值为“1”指示GnosisSafe合约执行“delegatecall”而“0”表示“Call”。 4. 该交易执行了委托调用到攻击者部署的另一个合约0x96221423681a6d52e184d440a8efcebb105c7242该合约包含一个“transfer()”函数调用时修改合约的第一个存储槽“uint256 _transfer”。 在GnosisSafe合约中第一个存储槽包含“masterCopy”地址即GnosisSafe合约的实现合约地址。 通过修改Gnosis Safe合约的第一个存储槽攻击者能够改变实现合约地址即“masterCopy”地址。 从交易详情中可以看到攻击者将“masterCopy”地址设置为0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516该地址包含了下面描述的“sweepETH()”和“sweepERC20()”函数。 5. 攻击者使用的合约升级方法非常规它经过专门设计来避免攻击意图被发现。从Bybit签署者的角度来看签署的数据看起来像是一个简单的“transfer(address, uint256)”函数调用而不是一个可能引起怀疑的“升级”函数。 6. 升级后的恶意实现合约包含了后门函数“sweepETH()”和“sweepERC20()”攻击者通过调用这些函数转移了冷钱包内所有资产最终造成14亿美元的ETH被盗。 漏洞分析
此次漏洞的根源在于一次成功的钓鱼攻击。攻击者通过诱骗钱包签名者签署恶意交易数据最终导致合约被恶意升级。此次升级使攻击者得以控制冷钱包并转移其全部资金。目前钓鱼攻击的具体策划与实施手法仍不明确。 根据Bybit CEO Ben Zhou在漏洞发生两小时后于X平台直播中的说明事件发生时Bybit团队正执行冷钱包至热钱包的常规资产转移流程而他本人是Safe多签交易的最后一位签署者。他明确指出该交易经过伪装处理——所有签名者在Safe{Wallet}界面看到的地址和交易数据均显示为正确内容且URL已通过Safe{Wallet}官方验证。然而当交易数据发送至Ledger硬件钱包进行签名时实际内容已被篡改。Ben Zhou还提到他未在Ledger设备界面上二次核验交易细节。关于攻击者如何篡改Safe{Wallet}界面目前尚无定论。根据Arkham披露的信息链上分析师zachxbt已提交确凿证据表明此次攻击由LAZARUS黑客组织策划实施。 经验与教训
此次事件让人联想到2024年10月16日的Radiant Capital漏洞事件参考1、参考2该事件导致约5000万美元被盗。当时攻击者通过入侵开发者设备篡改Safe{Wallet}前端界面使其显示合法交易数据而实际发送至硬件钱包的数据为恶意内容。此类篡改在人工界面审查及Tenderly模拟测试中均无法被检测。攻击者最初通过冒充可信前承包商通过Telegram消息向目标发送含有恶意软件建立macOS持久后门的压缩PDF文件从而获取设备访问权限。
尽管Bybit事件中界面篡改的根本原因尚未确认但设备入侵可能是关键因素与Radiant Capital事件类似。两起事件均揭示了攻击成功的两大前提设备被入侵与盲签行为。鉴于此类攻击日益频繁我们需重点分析以下两种攻击手段及缓解策略 1. 设备被入侵
通过社会工程学手段传播恶意软件入侵受害者设备仍是Web3领域大规模攻击的主要手段。国家级黑客组织例如LAZARUS GROUP常利用此方法突破初始防线。设备入侵可有效绕过安全控制措施。
缓解策略
强化设备安全制定严格的端点安全策略部署EDR解决方案如CrowdStrike。专用签名设备在隔离环境中使用专用设备执行交易签名避免多用途设备暴露风险。临时操作系统为关键操作如多签交易配置非持久性操作系统如临时虚拟机确保操作环境干净。钓鱼模拟演练定期对高风险角色如加密资产操作员、多签签名者进行钓鱼攻击模拟提升安全意识。红队攻防演练模拟攻击者战术评估现有安全控制措施的有效性并针对性强化。 2. 盲签漏洞
盲签名指用户未完整验证交易细节即签署交易导致恶意交易被意外授权。此类不安全操作在DeFi用户中普遍存在对管理高额资产的加密机构尤为危险。硬件钱包Ledger近期已针对此问题展开讨论参考1、参考2。在Bybit事件中恶意界面隐藏交易真实意图导致篡改后的数据被发送至Ledger设备而签名者未在设备端验证细节最终引发漏洞。
缓解策略
避免未经验证的Dapp仅与可信的平台交互通过书签访问官方平台避免钓鱼链接。硬件钱包二次核验在Ledger等设备屏幕上逐项确认交易详情收款地址、金额、函数调用确保与预期一致。交易模拟在签名之前模拟交易以观察其结果并验证其正确性。使用非可视化界面选择命令行工具 (CLI)减少对第三方图形界面的依赖CLI降低了UI操纵的风险可提供更透明的交易数据视图。异常即终止若交易任何部分存在异常立即终止签名流程并启动调查。双设备验证机制在签名之前使用单独的设备独立验证交易数据。该设备应生成可读的签名验证码该验证码与硬件钱包上显示的数据相匹配。 继Radiant Capital与WazirX的数千万美元损失后Bybit成为了Web3史上最大规模盗窃的受害者。此类攻击的频率与复杂性持续升级暴露了行业在运维安全上的重大缺陷。攻击者正系统性针对高价值目标进行攻击. 随着对手能力的提升中心化交易所CEX及加密机构必须全面提升安全防护水平警惕外部威胁的迭代演进。
