Bybit 遭遇高级多阶段攻击，细节曝光

加密货币交易所 Bybit 发现其以太坊冷钱包存在未经授权的操作，导致重大安全漏洞。

该事件发生在一笔通过 Safe{Wallet} 进行的 ETH 多签交易中，攻击者介入并篡改了交易流程，最终从交易所的冷存储中转走了超过 40 万枚 ETH。

此次攻击展现了前所未有的复杂性和多方位的技术手段，包括 macOS 恶意软件部署、AWS 云基础设施入侵以及智能合约操控。

美国 FBI 将此次攻击归因于“TradeTraitor”，也称为 Lazarus 组织。该组织与朝鲜有关联，并曾多次实施加密货币盗窃。

Sygnia 研究人员发现，最早的恶意活动始于 2025 年 2 月 4 日，当时一名 Safe{Wallet} 开发者的 macOS 工作站通过社交工程手段被攻陷。

该开发者下载了一个名为“MC-Based-Stock-Invest-Simulator-main”的可疑 Docker 项目，该项目随后与一个恶意域名建立了通信。

在 2 月 5 日至 2 月 17 日期间，攻击者利用从被入侵的开发工作站中窃取的 AWS 凭证，在 Safe{Wallet} 的 AWS 基础设施内展开活动。

攻击者使用 ExpressVPN IP 地址，并使其活动时间与开发者的工作时间保持一致，以规避检测。

2 月 19 日，攻击者对托管在 Safe{Wallet} AWS S3 存储桶中的 JavaScript 资源进行了修改。

这些修改注入了恶意代码，专门针对 Bybit 冷钱包地址的交易进行篡改。

技术执行细节

攻击的技术执行包括将合法的交易有效负载替换为对预先部署的恶意智能合约的委托调用（delegate call）。

这种委托调用机制允许攻击者将钱包的实现替换为包含“sweepETH”和“sweepERC20”函数的恶意版本。

这些功能使攻击者无需经过标准的多签审批流程即可转移资金。

恶意代码还包含针对特定合约地址的激活条件，以及旨在绕过安全检查的交易验证篡改。

Anchain 对漏洞利用字节码的反向工程揭示了攻击者实现的四个恶意智能合约功能。

在成功实施盗窃仅两分钟后，攻击者从 Safe{Wallet} 的 web 界面中删除了恶意 JavaScript 代码，试图掩盖其痕迹。

Bybit 案件为行业树立了新的取证透明度标杆。通过详细披露调查结果，行业能够更好地防御未来类似的攻击。