Bybit盗币技术分析
发布时间:2025-06-11
事件概述
2025年2月21日,加密货币交易所Bybit遭遇重大安全事件,其以太坊冷钱包(地址:0x1db9xxxxfcf4)因恶意合约升级导致资金被盗。
根据Bybit首席执行官Ben Zhou的公开声明,此次攻击采用了一种精密的钓鱼手段:
攻击者通过伪造Safe界面,诱使冷钱包签名者在不知情的情况下签署了恶意交易。值得注意的是,虽然用户界面显示为常规交易操作,
但实际传输至Ledger硬件钱包的数据已被恶意篡改。攻击者成功获取了三个有效签名后,将Safe多签钱包的实现合约替换为恶意版本,
从而非法转移资金。
攻击流程
1.攻击者再提前一段时间就已经部署了两个恶意合约:
① 恶意合约包含资金转移后门功能
② 用于修改存储槽的代码,以实现合约升级
2.攻击者在2025年2月21日诱使三个多重签名钱包的所有者(签名者)签署恶意交易,从而将Safe的实现合约升级为之前部署的含有
后门的恶意合约
3.攻击交易中的“operation”字段值为“1”,指示GnosisSafe合约执行“delegatecall”,而“0”表示“Call”。
4.该交易执行了委托调用到攻击者部署的另一个合约(0x9622xxx7242),该合约包含一个“transfer()”函数,调用时修改合约的第一个
存储槽“uint256 _transfer”。
在GnosisSafe合约中,第一个存储槽包含“masterCopy”地址,即GnosisSafe合约的实现合约地址。
通过修改Gnosis Safe合约的第一个存储槽,就够改变实现合约地址“masterCopy”地址。
从交易详情中可以看到,攻击者将“masterCopy”地址设置为0xbDd07xxxx9516,该地址包含了下面描述的“sweepETH()”和
“sweepERC20()”函数。
5.攻击者采用了高度隐蔽的合约升级技术手段,其攻击方式经过精心设计以规避常规安全检测。根据技术分析,该恶意合约通过特殊
构造,在交易数据层面实现了完美的伪装:
当Bybit授权人员通过Safe界面进行签署时,系统呈现的交易信息完全符合标准的"transfer(address, uint256)"函数调用特征,这种最
常见的转账操作模式不会引发任何安全警示。然而实际上,经过编码处理的底层数据包已被篡改为执行合约升级的关键操作。
这种攻击手法的精妙之处在于,它不仅规避了人工审核可能产生的警觉,甚至能够欺骗部分自动化监控系统的检测。
6.升级后的恶意合约,包含了后门函数“sweepETH()”和“sweepERC20()”,攻击者通过调用这些函数,最终达到转移冷钱包内所
有资产目的。
此次事件与2024年10月16日的Radiant Capital漏洞事件极其相似,该事件导致约5000万美元被盗。当时攻击者通过入侵开发者设备,
篡改Safe前端界面,使其显示合法交易数据,而实际发送至硬件钱包的数据为恶意内容。此类篡改在人工界面审查及Tenderly模拟测
试中均无法被检测。攻击者最初通过冒充可信前承包商,通过Telegram消息,向目标发送含有恶意软件(建立macOS持久后门)的压
缩PDF文件,从而获取设备访问权限。
尽管Bybit事件中界面篡改的根本原因还未明确,但设备入侵可能是关键因素。两起事件均揭示了攻击成功的两大前提:设备入侵
签行为。此类攻击日益频繁,我们需重点分析以下两种攻击手段及缓解策略:
1.设备入侵
在Web3.0安全领域,社会工程学攻击仍然是威胁行为者突破防御体系的最主要切入点。以LAZARUS GROUP为代表的APT组织持续精
进其攻击手法,通过以下方式实施设备入侵:
① 精心构造的钓鱼攻击链,利用人性弱点获取初始访问权限
② 多阶段payload投放,规避传统安全检测
③ 持久化驻留技术,维持长期控制能力
防护对策:
强化设备安全:部署新一代端点检测与响应(EDR)系统,实施应用白名单和最小权限原则
临时操作系统:为敏感操作配置一次性虚拟机实例,使用只读介质启动系统
专用签名设备:采用专用签名设备,建立物理隔离的签名环境,实施交易多重确认机制
人员安全意识:建立高风险操作双人复核制度
2.盲签行为
盲签名风险已成为Web3.0生态系统的重大安全隐患,其核心威胁在于:用户在未完整验证交易内容的情况下即执行签名操作。这种安
全隐患在DeFi领域尤为普遍,对管理高价值数字资产的机构构成严重威胁。近期硬件钱包制造商Ledger已经开始对相关风险展开技术
研讨。在Bybit安全事件中,攻击者通过以下方式利用了该漏洞:
① 精心构造的恶意界面完全隐藏交易真实意图
② 篡改后的交易数据被传输至Ledger硬件设备
③ 签名人员未严格执行设备端交易内容验证流程
④ 最终导致恶意合约升级操作获得授权
防护对策:
交互环境安全强化:严格限定仅与经过审计的DApp平台交互,通过预先保存的书签访问官方平台,部署防钓鱼解决方案验证域名真实性
应急响应规程:建立"异常即停"机制,交易内容存疑立即终止流程
硬件钱包二次验证:在Ledger等设备屏幕上逐项确认交易详情(收款地址、金额、函数调用),建立"三查三对"验证流程
双设备验证机制:实施双设备交叉验证(主设备:执行签名操作;辅设备:解析并显示交易原始数据)
Copyright © 上海巨瑞网络科技有限公司 版权所有 沪ICP备15005663号-1
沪公网安备 31011402002446号