2025年2月21日,bybit平台發生一起重大的黑客事件,導致超過14.6億美元的加密資產被盜。慢霧安全團隊在事件後立即發布警告並進行了資產追踪,發現被盜資產主要包括401,347 ETH、15,000 cmeth等。分析顯示,攻擊者通過部署惡意合約和篡改合約邏輯實施攻擊,並與朝鮮黑客組織Lazarus有關。事件引發了對加密行業安全防護的關注,bybit承諾覆蓋客戶損失,用戶提現未受影響。此次事件警示平台需加強安全措施,並提升用戶的安全意識。
作者:慢霧安全團隊
背景
北京時間2025年221日晚,據鏈上偵探Zachxbt披露,bybit平台發生大規模資金流出的情況。此次事件導致超14.6億美元被盜,成為近年來損失金額最大的加密貨幣盜竊事件。 ,成為近年來損失金額最大的加密貨幣盜竊事件。
鏈上追踪分析
事件發生後,慢霧安全團隊立即發布安全提醒,並對被盜資產展開追踪分析::
根據慢霧安全團隊的分析,被盜資產主要包括::
401,347 ETH (價值約10.68) 8,000 METH (價值約2,600萬美元) 90,375.5479 steth (價值約2.6億美元) 15,000 cmeth (價值約4,300萬美元)
我們使用鏈上追踪與反洗錢工具misttrack對初始黑客地址0x47666666666666bd0ac7003bce3f5c358538383f09486e2進行分析
eth被分散轉移,初始黑客地址將,400,000 eth以每10,000eth的格式分散到40個地址,正在繼續轉移。 ,正在繼續轉移。
其中,205 ETH通過鏈flip換為btc跨鏈到地址BC1QLU4A33ZJSPEFA3TNQ566XSZCR0FVWZ05EWHQFQ。
CMETH:15,000 cmeth被轉移至地址0x1542368a03ad1f03d96d96d51b4141414f4738961cf44443。值得注意的是,甲基協議在x上發文表示黑客地址回收了15,000cmeth。
甲基甲米:8,000 meth和90,375.5479steth被轉移到地址0xa4b2fd68593b6f34e51cb9edb66e71b66e71c1b444449e,接著通過uiniswap接著通過0xD90071D52F20E85C89802E5DC1EC0A7B64775F92,地址0xDD9以每10,000ET0 eth的格式將eTh的格式將9個地址,暫未轉出。 ,暫未轉出。 ,暫未轉出。
此外,對攻擊手法分析小節推出的黑客發起初始攻擊的地址0x0FA09C3A328792253F8DEE7116848723B72A6D2E進行溯源,發現該地址的初始資金來自binance。
目前初始黑客地址0x476666FAB8BD0AC7003BCE3F5C35853835383F09486E2餘額1,346ETH,我們將持續監控相關地址。
事件發生後,安全多籤的手法以及洗幣手法推測攻擊者為朝鮮黑客::
可能利用的社會工程學攻擊手段:
使用misttrack分析
zachxbt也實錘了本次攻擊與朝鮮黑客組織lazarus組有關,該組織一直以實施跨國網絡攻擊和盜竊加密貨幣為主要活動之一。據了解,zachxbt提供的證據,包括測試交易、關聯錢包、取證圖表及時間分析等,都顯示了攻擊者在多次操作中使用了,都顯示了攻擊者在多次操作中使用了拉撒路組常見的技術手段。同時,阿卡姆,所有相關數據已經分享給,bybit,幫助平台進一步展開調查。
攻擊手法分析
在事件發生後當晚23:44,Bybit首席執行官Ben Zhou在X在,詳細解釋了此次攻擊的技術細節::
通過鏈上簽名分析,我們發現了一些痕跡::
1。攻擊者部署惡意合約:UTC 2025-02-19 07:15:23,部署惡意實現合約0xBDD077F651EBE7B3CE16FE5F2B025BE2969516。
2。篡改安全合約邏輯:UTC 2025-02-21 14:13:35,通過三個所有者簽署交易,替換合約為惡意版本:0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882。由此推出對黑客發起初始攻擊的地址0x0fa09C3A328792253f8dee7116848723b72a6d2e。
3。嵌入惡意邏輯:通過授權存儲0存儲:0x96221423681A6D52E184D440A840A8EFCEBBBBB105C7242。
4。調用後門函數轉移資金:攻擊者使用合約中的掃描和掃描和掃描,40萬枚eth和
從攻擊手法上看,wazirx被黑事件和輻射資本被黑事件與本次攻擊都有相似之處,安全多簽錢包。對於wazirx被黑事件,攻擊者同樣提前,攻擊者同樣提前部署了惡意的實現合約,並通過三個,並通過三個,通過
(https://etherscan.io/tx/0x48164d3adbab78C2CB9876F6E17F88E321097FCD14FCD14CADD575568666EEF3E4EF3E185D)
對於輻射資本被黑事件,根據官方披露,攻擊者利用了一種複雜的方法,使得簽名驗證者在前端看到了看似合法的交易,這與,本週
(https://medium.com/@radiantcapital/radiant-post-mortem-fecd6cd38081)
並且這三次事件所涉及的惡意合約的權限檢查方式都是相同的,所有者地址以對合約調用者進行檢查。其中bybit被黑事件與wazirx被黑事件權限檢查拋出的錯誤信息也相似。
在本次事件中,安全合約沒問題,問題在非合約部分,前端被篡改偽造達到欺騙效果。這個不是個案。朝鮮黑客去年就以此方式攻擊了好幾個平台,如:安全多簽;輻射資本損失$ 5,000萬美元,安全多簽; dmm比特幣損失$ 3.305億美元,為gonco多簽。這種攻擊手法工程化成熟,需要多加註意。
根據bybit官方發布的公告::
(https://announcements.bybit.com/zh-my/article/incident-update—————————————-int-incident-incident-blt292c0454d26e140)
再結合本週::
產生以下疑問點:
1。例行eth轉賬
攻擊者可能事先獲取了bybit內部財務團隊的操作信息,掌握了通過安全系統,誘導簽名者在偽造界面上簽署惡意交易?安全的前端系統是不是被攻破並被接管了?
2。安全合約UI被篡改
簽名者在安全界面上看到的是正確的地址和url,但實際簽名的交易數據已被篡改? 關鍵問題在於:是誰最先發起簽名請求?其設備安全性如何?
我們帶著這些疑問,期待官方能盡快披露更多調查結果。 ,期待官方能盡快披露更多調查結果。
市場影響
bybit在事件發生後迅速發佈公告,承諾所有客戶資產均有1:1:,平台可以承擔此次損失。用戶提現不受影響。 ,平台可以承擔此次損失。用戶提現不受影響。
2025年2 22日22:51,Bybit首席執行官Ben Zhou發X x稱,目前已經充提款正常::
寫在最後
此次盜竊事件再次凸顯了加密貨幣行業面臨的嚴峻安全挑戰。隨著加密行業的迅速發展,黑客組織敲響了警鐘,平台需進一步強化安全防護,採用更先進的防禦機制,如多重身份驗證、加密錢包管理、資產監控與風險評估,以保障用戶資產安全。對於個人用戶而言,提升安全意識同樣至關重要,建議優先選擇硬件錢包等更安全的存儲方式,避免在交易所長期存放大量資金。在這一不斷演進的領域,唯有持續升級技術防線,才能確保數字資產安全,推動行業健康發展。
資訊來源:由0x資訊編譯自互聯網。版權歸作者所有,未經許可,不得轉載!