Bybit 於2 月21 日遭駭客攻擊，損失近15 億美元，成為Web3 史上最大的駭客攻擊案件，今日（2 月26 日） Sygnia 發布了該起事件的初步報告，以下為報告中文翻譯。

背景

2025 年2 月21 日星期五，Bybit 偵測到涉及其一個ETH 冷錢包的未授權活動。事件發生在透過Safe{Wallet}從冷錢包向熱錢包進行ETH 多重簽章交易時，威脅者介入並操縱了該交易。威脅者設法獲得了受影響冷錢包的控制權，並將其持有的資產轉移到他們控制的錢包中。

Sygnia 受Bybit 委託進行取證調查，確定攻擊的根本原因，目標是識別攻擊範圍和來源，並減輕當前和未來的風險。

主要發現：

目前為止，取證調查突顯以下發現：

• 對所有用於發起和簽署交易的主機的取證調查發現，在Safe{Wallet}的AWS S3 儲存桶中的資源被注入了惡意JavaScript 程式碼。
• 資源修改時間和公開可用的網路歷史檔案表明，惡意程式碼的注入是直接在Safe{Wallet}的AWS S3 儲存桶中進行的。
• 對注入的JavaScript 程式碼的初步分析表明，其主要目的是操縱交易，在簽名過程中有效地更改交易內容。
• 此外，對注入JavaScript 程式碼的分析發現了一個啟動條件，該條件僅在交易來源匹配兩個合約位址之一時才會執行：Bybit 的合約位址和一個目前未識別的合約位址（可能與威脅者控制的測試合約相關）。
• 在惡意交易執行並發布後兩分鐘，新版本的JavaScript 資源被上傳到Safe{Wallet}的AWS S3 儲存桶。這些更新版本已刪除了惡意程式碼。
• 初步發現顯示攻擊源自Safe{Wallet}的AWS 基礎設施。
• 到目前為止，取證調查未發現Bybit 基礎設施有任何被入侵的跡象。

技術發現

在對用於發起和簽署交易的主機進行取證調查期間，發現了以下結果：

Chrome 瀏覽器快取

對Chrome 瀏覽器快取檔案的取證分析在所有三個簽署者的主機上識別出在交易簽章時建立的包含JavaScript 資源的快取文件

快取檔案的內容顯示，2025 年2 月21 日從Safe{Wallet}的AWS S3 儲存桶提供的資源最後一次修改時間是在2025 年2 月19 日，即惡意交易發生的兩天前。

惡意JavaScript 注入

在Chrome 瀏覽記錄中發現的JavaScript 程式碼內容顯示了威脅者引入的惡意修改。對注入程式碼的初步分析突出顯示該程式碼旨在修改交易內容。

Safe{Wallet} AWS S3 儲存桶目前狀態

Safe{Wallet}目前透過其AWS S3 儲存桶提供的資源不包含在Chrome 快取檔案中識別的惡意程式碼。

調查確定JavaScript 資源在2025 年2 月21 日14:15:13 和14:15:32 UTC 被修改- 大約在惡意交易執行後兩分鐘。

Safe{Wallet}互聯網檔案

使用公共網路檔案對Safe{Wallet}資源的進一步分析發現了2025 年2 月19 日拍攝的兩個Safe{Wallet} JavaScript 資源快照。對這些快照的審查顯示，第一個快照包含原始的合法Safe{Wallet}程式碼，而第二個快照包含帶有惡意JavaScript 程式碼的資源。這進一步表明，創建惡意交易的惡意程式碼直接來自Safe{Wallet}的AWS 基礎設施。

結論

對三個簽署者主機的取證調查表明，攻擊的根本原因是來自Safe{Wallet}基礎設施的惡意程式碼。

在Bybit 的基礎設施中未發現被入侵的跡象。

調查仍在繼續，以進一步確認這些發現。