Bybit 被窃 15 亿美元事件溯源:黑客利用 Safe 实施供应链攻击

安全
美国联邦调查局(FBI)日前正式将 Bybit 遭受创纪录的15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来。

美国联邦调查局(FBI)日前正式将 Bybit 遭受创纪录的15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来。与此同时,Bybit 的首席执行官 Ben Zhou 宣布要对 Lazarus全面”开战“

FBI 表示,朝鲜应对此次加密货币交易所的虚拟资产盗窃事件负责。该事件被归咎于 FBI 追踪的一个特定集群 TraderTraitor,该集群也被称为 Jade Sleet、Slow Pisces 和 UNC4899。

FBI 称:“TraderTraitor 的行为迅速,已将部分被盗资产转换为比特币和其他虚拟资产,并分散在多个区块链上的数千个地址中。预计这些资产将被进一步洗钱,并最终转换为法定货币。”

值得一提的是,TraderTraitor 集群此前曾被日本和美国当局指控参与 2024 年 5 月从加密货币公司 DMM Bitcoin 窃取价值 3.08 亿美元加密货币的事件。

朝鲜黑客的常用攻击手法

TraderTraitor 以针对 Web3 行业的公司而闻名,通常诱骗受害者下载带有恶意软件的加密货币应用程序,从而实施盗窃。此外,该集群还被发现会策划以工作为主题的社会工程活动,导致恶意 npm 包的部署。

与此同时,Bybit 已启动赏金计划,以帮助追回被盗资金,同时指责 eXch 拒绝配合调查并协助冻结资产。

Bybit 表示:“被盗资金已被转移到无法追踪或冻结的目的地,例如交易所、混币器或跨链桥,或转换为可以冻结的稳定币。我们需要所有相关方的合作,要么冻结资金,要么提供资金流动的更新,以便我们继续追踪。”

攻击背后的技术细节

总部位于迪拜的 Bybit 还分享了由 Sygnia 和 Verichains 进行的两项调查的结论,将此次攻击与 Lazarus 集团联系起来。

Sygnia 表示:“对三个签名者主机的取证调查表明,攻击的根本原因是从 Safe{Wallet} 基础设施中产生的恶意代码。”

Verichains 指出:“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 时间 15:29:25 被恶意代码替换,专门针对 Bybit 的以太坊多签冷钱包。” 并补充说:“攻击设计为在下一次 Bybit 交易期间激活,该交易发生在 2025 年 2 月 21 日 UTC 时间 14:13:35。” Safe.Global 的 AWS S3 或 CloudFront 账户/API 密钥可能泄露或被攻破,从而为供应链攻击铺平了道路。

在一份单独声明中,多签钱包平台 Safe{Wallet} 表示,此次攻击是通过入侵 Safe{Wallet} 开发人员的机器来实施的,影响了 Bybit 运营的账户。该公司进一步指出,它已实施额外的安全措施来减轻攻击载体。

Lazarus 集团的历史与手法

Safe{Wallet} 表示:“此次攻击是通过入侵 Safe{Wallet} 开发人员的机器来实现的,导致提交了伪装成恶意的交易。Lazarus 是朝鲜国家支持的黑客组织,以对开发者凭证进行复杂的社会工程攻击而闻名,有时还结合零日漏洞利用。”

目前尚不清楚开发人员的系统是如何被入侵的,尽管 Silent Push 的一项新分析发现,Lazarus 集团在 2025 年 2 月 20 日 22:21:57 注册了域名 bybit-assessment[.]com,该域名在加密货币被盗前几小时注册。

WHOIS 记录显示,该域名是使用电子邮件地址“trevorgreer9312@gmail[.]com”注册的,该地址此前已被确认为 Lazarus 集团用于另一个名为“Contagious Interview”活动的身份。

该公司表示:“Bybit 劫案似乎是由朝鲜威胁行为组织 TraderTraitor 实施的,TraderTraitor 也被称为 Jade Sleet 和 Slow Pisces,而加密货币面试骗局是由朝鲜威胁行为组织 Contagious Interview 领导的,该组织也被称为 Famous Chollima。”

“受害者通常通过 LinkedIn 接触,他们在那里被社会工程学欺骗参与虚假的工作面试。这些面试是目标恶意软件部署、凭证收集以及进一步危害财务和公司资产的切入点。”

据估计,自 2017 年以来,与朝鲜有关的行为者已经窃取了超过 60 亿美元的加密资产。上周窃取的 5 亿美元超过了 2024 年全年从 47 起加密货币劫案中窃取的 34 亿美元。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-03-03 16:57:30

供应链攻击网络安全

2024-03-20 06:52:16

2022-04-06 10:12:51

Go供应链攻击风险

2021-04-25 15:49:06

拜登黑客攻击

2021-08-11 12:35:26

黑客攻击漏洞

2024-09-03 16:55:01

2023-02-23 07:52:20

2022-04-13 14:49:59

安全供应链Go

2022-08-06 16:36:21

漏洞网络攻击

2021-06-04 10:05:59

供应链安全

2021-09-12 14:38:41

SolarWinds供应链攻击Autodesk

2022-03-26 22:51:06

区块链供应链技术

2023-07-11 14:12:06

2021-09-30 22:42:03

区块链开发供应链

2020-06-01 08:45:17

GitHub代码开发者

2022-03-14 14:37:53

网络攻击供应链攻击漏洞

2021-09-16 14:59:18

供应链攻击漏洞网络攻击

2020-12-24 11:09:44

VMwareCiscoSolarWinds

2021-05-11 11:11:00

漏洞网络安全网络攻击

2022-05-26 14:55:27

物联网
点赞
收藏

51CTO技术栈公众号