Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

Sygnia は、Bybit から、攻撃の範囲と発生源を特定し、現在および将来のリスクを軽減することを目的として、攻撃の根本原因を究明するためのフォレンジック調査の実施を委託されました。

Bybitは2月21日にハッキングされ、約15億ドルの損失が発生し、Web3史上最大のハッカー攻撃となりました。本日(2月26日)、Sygniaは事件に関する予備報告書を発表しました。以下は報告書の中国語訳です。

背景

2025年2月21日金曜日、BybitはETHコールドウォレットの1つに関連する不正なアクティビティを検出しました。このインシデントは、Safe{Wallet} を介してコールドウォレットからホットウォレットにマルチ署名 ETH トランザクションが行われ、脅威アクターが介入してトランザクションを操作したときに発生しました。脅威アクターは影響を受けたコールドウォレットの制御権を取得し、保有していた資産を自分たちが管理するウォレットに転送しました。

Sygnia は、Bybit から、攻撃の範囲と発生源を特定し、現在および将来のリスクを軽減することを目的として、攻撃の根本原因を究明するためのフォレンジック調査の実施を委託されました。

主な調査結果:

現在までに、法医学調査により以下の発見が明らかになっています。

  • トランザクションの開始と署名に使用されたすべてのホストのフォレンジック調査により、Safe{Wallet} の AWS S3 バケット内のリソースに悪意のある JavaScript コードが挿入されていたことが明らかになりました。
  • リソースの変更時間と公開されているネットワーク履歴アーカイブから、悪意のあるコードの挿入が Safe{Wallet} の AWS S3 バケットで直接実行されたことがわかります。
  • 挿入された JavaScript コードの初期分析により、その主な目的はトランザクションを操作し、署名プロセス中にその内容を事実上変更することであることが判明しました。
  • さらに、挿入された JavaScript コードの分析により、トランザクションの発信元が 2 つの契約アドレス (Bybit の契約アドレスと現在特定されていない契約アドレス (脅威アクターが管理するテスト契約に関連する可能性が高い)) のいずれかと一致する場合にのみ実行されるアクティベーション条件が明らかになりました。
  • 悪意のあるトランザクションが実行され公開されてから 2 分後、JavaScript リソースの新しいバージョンが Safe{Wallet} の AWS S3 バケットにアップロードされました。これらの更新バージョンでは悪意のあるコードが削除されています。
  • 初期の調査結果によると、攻撃は Safe{Wallet} の AWS インフラストラクチャから発生したことが示されています。
  • これまでのところ、フォレンジック調査では、Bybit のインフラストラクチャが侵害された兆候は見つかっていない。

テクノロジーの発見

トランザクションの開始と署名に使用されたホストのフォレンジック調査中に、次の結果が発見されました。

Chromeブラウザのキャッシュ

Chrome ブラウザのキャッシュ ファイルのフォレンジック分析により、3 つの署名者のホストすべてでトランザクション署名中に作成された JavaScript リソースを含むキャッシュ ファイルが特定されました。

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

キャッシュされたファイルの内容は、2025 年 2 月 21 日に Safe{Wallet} の AWS S3 バケットから提供されたリソースが、悪意のあるトランザクションが行われる 2 日前の 2025 年 2 月 19 日に最後に変更されたことを示していました。

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

悪意のあるJavaScriptインジェクション

Chrome の閲覧履歴で見つかった JavaScript コードの内容には、脅威の実行者によって導入された悪意のある変更が示されています。挿入されたコードの初期分析により、トランザクションの内容を変更するように設計されていることが明らかになりました。

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

Safe{Wallet} AWS S3 バケットの現在のステータス

現在、Safe{Wallet} が AWS S3 バケットを通じて提供しているリソースには、Chrome キャッシュ ファイルで特定された悪意のあるコードは含まれていません。

調査の結果、JavaScript リソースは、悪意のあるトランザクションが実行されてから約 2 分後の 2025 年 2 月 21 日 14:15:13 および 14:15:32 UTC に変更されたことが判明しました。

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

安全な{ウォレット} インターネット アーカイブ

公開ウェブアーカイブを使用して Safe{Wallet} リソースをさらに分析したところ、2025 年 2 月 19 日に取得された Safe{Wallet} JavaScript リソースのスナップショットが 2 つ明らかになりました。これらのスナップショットをレビューしたところ、最初のスナップショットには元の正当な Safe{Wallet} コードが含まれていましたが、2 番目のスナップショットには悪意のある JavaScript コードを含むリソースが含まれていたことが判明しました。これはさらに、悪意のあるトランザクションを作成した悪意のあるコードが Safe{Wallet} の AWS インフラストラクチャから直接来たことを示唆しています。

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

Safe Wallet は安全ですか? Bybitのフォレンジック調査レポートを簡単に見てみましょう

結論は

3 つの署名ホストのフォレンジック調査により、攻撃の根本的な原因は Safe{Wallet} インフラストラクチャから発生した悪意のあるコードであることが明らかになりました。

Bybit のインフラストラクチャに侵害の兆候は見つかりませんでした。

これらの調査結果をさらに確認するために調査が継続されています。

共有先:

著者:Foresight News

本記事はPANews入駐コラムニストの見解であり、PANewsの立場を代表するものではなく、法的責任を負いません。

記事及び見解は投資助言を構成しません

画像出典:Foresight News侵害がある場合は、著者に削除を連絡してください。

PANews公式アカウントをフォローして、一緒に強気相場と弱気相場を乗り越えましょう
Telegram交流グループ
Telegram情報チャンネル
@PANews
おすすめ記事
16分前
27分前
43分前
1時間前
2時間前
3時間前

人気記事

業界ニュース
市場ホットスポット
厳選読み物
購読をクリック

厳選特集

App内阅读