Bybit，迄今为止最大单日黑客攻击的受害者，发布了一份“临时调查”报告，披露了交易所目前所知的情况，同时继续追踪由朝鲜黑客组织Lazarus Group在周五窃取的15亿美元资金。

正如之前报道的，这次攻击发生在一次相对平常的操作中，当时Bybit的多签持有者协调将资金从冷钱包转移到“热钱包”，使用Safe(Wallet)界面时，“一个威胁行为者介入并操控了交易。”

“威胁行为者成功控制了受影响的冷钱包，并将其持有的资产转移到一个他们控制的钱包，”总部位于特拉维夫的加密网络安全公司Sygnia在报告中写道。

根据对被修改系统和网络档案的法医调查，旨在“识别妥协的来源和范围”，Sygnia发现Lazarus能够将恶意JavaScript代码注入到“从Safe(Wallet)的AWS S3存储桶提供的资源中。”

此外，Sygnia在所有用于发起和签署受损交易的多签主机上发现了这段代码。

这证实了以太坊安全社区在攻击发生后几个小时内迅速进行的一些研究，发现Lazarus使用了一种越来越流行的策略，感染用于转移资金的签名设备和“盲签名”，通过掩盖用户界面来欺骗签名者无意中与攻击者控制的陌生地址进行交互，正如The Block之前报道的。

然而，Sygnia的研究确实有助于更好地理解Lazarus是如何控制Bybit多签持有者的签名操作的。

“初步发现表明攻击源自Safe(Wallet)的AWS基础设施，”Sygnia报告称。“到目前为止，法医调查没有发现Bybit基础设施的任何妥协。”

这些发现表明，未经授权的活动源于对Safe(Wallet)云系统的针对性攻击，即其亚马逊网络服务（AWS）S3存储桶，这是一个通常用于存储和检索静态文件（如脚本或HTML代码）以供Web应用程序使用的灵活系统。签名者的浏览器随后从S3存储桶加载了被破坏的JavaScript（在Sygnia审查的Chrome文档中发现是本地缓存的），当Bybit试图转移资金时，这段代码执行了一个被修改的交易。

换句话说，正如SEAL 911的联合创始人pcaversaccio所解释的，开发者的计算机，称为开发机，用于编写和管理代码，被黑客攻击。

“这使得访问AWS及其S3存储桶成为可能。恶意JavaScript被推送到存储桶中并最终分发，”他告诉The Block。“恶意JS代码专门针对Bybit合约地址。在签名过程中，JS代码更改了交易的内容。”

就Safe而言，来自Gnosis的团队确认此次攻击“是通过一个被妥协的Safe{Wallet}开发者机器实现的，导致提出了一个伪装的恶意交易”，但并未妥协 Safe的前端、源代码或智能合约。

尽管如此，目前尚不清楚该开发机是如何被攻破的，或者其他Safe用户是否面临风险。Lazarus可能通过妥协凭证——例如通过网络钓鱼或恶意软件窃取员工或第三方的AWS访问密钥——或更复杂的攻击手段获得了修改Safe{Wallet}的AWS S3存储桶中文件的能力。

Safe表示，它“已全面重建、重新配置所有基础设施，并更换所有凭证，确保攻击向量完全消除”，尽管在签署交易时仍然保持谨慎。

然而，一旦进入，攻击者可以上传或更改文件——例如注入恶意代码，使他们控制Bybit安全系统的关键部分。

Sygnia发现这段代码是高度针对性的，因为它“仅在交易来源匹配两个合约地址之一时激活：Bybit的合约地址和一个未识别的合约地址，可能与威胁行为者相关。”此外，Lazarus似乎在攻击前两天就缓存了该文件。

在恶意交易执行后两分钟，Lazarus将新的、未经篡改的JavaScript资源版本上传到Safe(Wallet)的AWS S3存储桶，以掩盖他们的踪迹。

就其本身而言，Bybit一直在努力保持公众知情，因为它希望追回资金。在攻击发生后的几天里，交易所告诉用户，他们不会受到影响，因为它已获得了一笔桥接贷款以弥补储备的短缺。它还启动了漏洞赏金计划——向任何能够追回资金的人提供10%的奖励，并向交易所和混合器提供5%的奖励，以帮助冻结这些资金。

一些以太坊研究人员估计，交易所迄今已能够追回超过1亿美元的资金，包括$4300万的mETH。

“调查仍在进行中，以进一步确认发现，”Sygnia写道。

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures投资于其他公司在加密领域。加密交易所Bitget是Foresight Ventures的主要有限合伙人。The Block继续独立运营，提供关于加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。

© 2025 The Block。版权所有。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。