仮想通貨取引所Bybitは以前にもハッキングされ、約14億ドル相当のイーサリアムが盗まれた。盗まれたイーサリアムは、マルチ署名ウォレット プラットフォーム SafeWallet を使用していた Bybit のウェアハウス ウォレット内にありました。盗難後、暗号通貨分野の多くの研究者は、ハッカーがどのように攻撃を行ったのかを解明できませんでした。結局のところ、ハッカーが Bybit のウォレット マネージャーを制御して署名を行った可能性は低いです。
しかし、最新の調査結果によると、この攻撃はBybitとは何の関係もありません。 SafeWallet ウォレットでセキュリティ問題が発生しました。実際、北朝鮮のハッカー集団「ラザラス・グループ」はすでに侵入を達成しているが、価値の高い標的のみを攻撃する機会をうかがっているところだ。。
研究者らは、この攻撃は特に価値の高い標的である Bybit をターゲットにしていると主張しています。ハッカーは、Bybit 署名者がアクセスできる app.safe.global に悪意のある JavaScript スクリプトを挿入します。効果的な悪意のあるスクリプトは、特定の条件が満たされた場合にのみアクティブになります。この選択的な実行により、バックドアが通常のユーザーに発見されることはありません。
Bybit 署名者のマシンの調査結果と Internet Archive の Web サイト Time Machine (WaybackArchive) を介した遡及に基づいて、研究者らはキャッシュされた悪意のある JavaScript スクリプトを発見し、Amazon AWS S3 または AWS Cloud Front の Safe.Global のアカウントまたは API が漏洩したか盗まれた可能性があるという強い結論に達しました。
この場合、ハッカーはアカウントまたは API を使用して S3 または CloudFront (AWS が提供する CDN サービス) を変更し、悪意のあるスクリプトを追加する可能性があります。研究者らはまた、SafeWallet の AWSS3 バケットから Bybit をターゲットにしたイーサリアム マルチシグネチャ コールド ウォレットの悪意のあるコードも発見しました。
SafeWallet は、LazarusGroup が Bybit に対して開始した攻撃に対するフォレンジック調査の結果、この攻撃は侵害された SafeWallet 開発者マシンを介して実行されたと結論付けたと声明を発表しました (つまり、SafeWallet 開発者マシンが悪意のあるコードに感染した後、ハッカーは権限のある開発者アカウントを通じて悪意のある JavaScript スクリプトを追加しました。)。
ウォレット プラットフォームは現在、すべてのインフラストラクチャを完全に再構築および再構成しており、同時に API キーなどを含むすべての認証情報をローテーションして、攻撃ベクトルが確実に除去され、今後の攻撃で使用できないようにしています。
さらに、研究者らは、SafeWallet のスマート コントラクトや、そのフロントエンドとサービスのソース コードに脆弱性を発見していません。彼らは、ハッカーが事前に SafeWallet 開発者に対して攻撃を開始することは確かにシームレスな計画であるとしか言えません。