加密货币交易所 Bybit 近期遭遇网络攻击，价值约 14 亿美元的以太坊被盗。被盗资产存于 Bybit 在 Safe {Wallet} 多签名平台上运行的保管钱包中。

攻击发生后，众多网络安全研究人员努力探究攻击者的作案手法。毕竟，黑客要同时攻破 Bybit 的钱包保管人以获取必要签名似乎不太可能。

然而，最新调查已明确排除 Bybit 的直接责任，显示安全漏洞存在于 Safe {Wallet} 自身。事实上，现已查明，臭名昭著的黑客组织Lazarus Group早在此次攻击前就已潜入 Safe {Wallet}，但一直在伺机对其高价值目标发动攻击。

研究人员称，此次攻击专门针对 Bybit。黑客将恶意 JavaScript 代码注入到 app.safe.global，该平台可供 Bybit 的签名者访问。不过，恶意脚本处于休眠状态，仅在特定条件下才会激活。这种选择性执行机制确保该后门不会被普通用户察觉。

对 Bybit 签名者机器的取证分析，结合通过Wayback Archive进行的历史回顾，研究人员发现了恶意 JavaScript 有效载荷的缓存版本。这一发现有力表明，Safe.Global 的Amazon  AWS S3 或 AWS CloudFront 账户或 API 密钥已遭泄露。

获取这些凭证后，攻击者得以操控 AWS S3 存储或 CloudFront CDN 服务，将恶意脚本注入平台。对 Safe {Wallet} 的 AWS S3 存储桶的进一步分析显示，存在专门针对 Bybit 的以太坊多签名冷钱包恶意软件。

Safe {Wallet} 在一份官方声明中证实，其调查追踪到攻击源自一台被入侵的 Safe {Wallet} 开发人员机器。本质上，黑客首先用恶意代码感染了一名开发人员的系统，然后利用被入侵开发人员的凭证将其 JavaScript 有效载荷注入平台。

作为回应，Safe {Wallet} 已全面重建和重新配置其基础设施，实施了全面的凭证轮换，包括 API 密钥，以确保所有攻击途径都已被消除，未来不会再被利用。

值得注意的是，研究人员在 Safe {Wallet} 的智能合约、前端或后端服务中未发现漏洞。相反，此次攻击的高明之处在于其精心策划、蓄谋已久的策略 —— 这是一场精心设计的供应链攻击，在对 Bybit 发动攻击之前成功渗透了 Safe {Wallet} 的开发环境。