加密货币交易所Bybit被盗14亿美元后续：朝鲜黑客入侵SafeWallet实现攻击

加密货币交易所Bybit此前被黑客盗取价值约14亿美元的以太坊，被盗的以太坊位于Bybit的仓库钱包中，仓库钱包使用多重签名钱包平台SafeWallet。在盗窃事件发生后多名加密货币领域的研究人员无法搞清楚黑客如何实现的攻击，毕竟黑客不太可能同时控制Bybit的钱包管理者进行签名。

不过最新调查结果显示此次攻击与Bybit完全没有关系，出现安全问题的是SafeWallet钱包，实际上朝鲜黑客集团LazarusGroup早已实现了入侵，只不过在等待机会只对高价值目标实现攻击。

研究人员称此次攻击专门针对Bybit这个高价值目标，黑客将恶意JavaScript脚本注入到Bybit签名者可以访问的app.safe.global，而有效的恶意脚本仅在满足某些条件时才会激活，这种选择性执行确保后门不会被普通用户发现。

根据对Bybit签名者机器的调查结果以及通过互联网档案馆的网站时光机(WaybackArchive)进行回溯，研究人员发现被缓存的恶意JavaScript脚本，研究人员得出强烈结论：Safe.Global在AmazonAWSS3或AWSCloudFront的账户或API可能泄露或被盗用。

在这种情况下黑客可以借助账号或API修改S3或CloudFront(AWS提供的CDN服务)从而添加恶意脚本，研究人员也从SafeWallet的AWSS3存储桶中发现了针对Bybit的以太坊多重签名冷钱包恶意代码。

SafeWallet发布声明称，对LazarusGroup针对Bybit发起的攻击取证调查得出结论，此次攻击是通过受损的SafeWallet开发者机器实现的(也就是说SafeWallet开发者机器被感染恶意代码后，黑客再通过具有权限的开发者账号添加了恶意JavaScript脚本)。

目前该钱包平台已经完全重建并重新配置了所有基础设施，同时轮换了所有凭证，包括API密钥等，确保攻击媒介已被删除并且不能在未来的攻击中继续使用。

另外目前研究人员并未在SafeWallet的智能合约或其前端和服务的源代码中发现漏洞，只能说黑客预先针对SafeWallet开发者发起攻击确实是个天衣无缝的方案。