Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Sygnia는 Bybit의 의뢰로 공격의 근본 원인을 파악하기 위한 법의학적 조사를 실시했습니다. 그 목표는 공격의 범위와 출처를 파악하고 현재 및 미래의 위험을 완화하는 것입니다.

Bybit은 2월 21일에 해킹을 당했고, 거의 15억 달러의 손실을 입었으며, Web3 역사상 가장 큰 해커 공격이 되었습니다. 오늘(2월 26일), Sygnia는 이 사건에 대한 예비 보고서를 발표했습니다. 다음은 보고서의 중국어 번역본입니다.

배경

2025년 2월 21일 금요일, Bybit은 ETH 콜드 월렛 중 하나와 관련된 승인되지 않은 활동을 감지했습니다. 이 사건은 Safe{Wallet}을 통해 콜드 월렛에서 핫 월렛으로 다중 서명 ETH 거래가 이루어졌을 때 발생했으며, 위협 행위자가 개입하여 거래를 조작했습니다. 위협 행위자들은 영향을 받은 콜드 월렛을 장악하고 자신들이 보유한 자산을 자신들이 관리하는 월렛으로 이전했습니다.

Sygnia는 Bybit의 의뢰로 공격의 근본 원인을 파악하기 위한 법의학적 조사를 실시했습니다. 그 목표는 공격의 범위와 출처를 파악하고 현재 및 미래의 위험을 완화하는 것입니다.

주요 결과:

현재까지의 법의학적 조사에서는 다음과 같은 결과가 강조되었습니다.

  • 거래를 시작하고 서명하는 데 사용된 모든 호스트에 대한 법의학적 조사 결과 Safe{Wallet}의 AWS S3 버킷에 있는 리소스에 악성 JavaScript 코드가 주입된 것으로 밝혀졌습니다.
  • 리소스 수정 시간과 공개적으로 이용 가능한 네트워크 기록 보관소는 악성 코드 주입이 Safe{Wallet}의 AWS S3 버킷에서 직접 수행되었음을 나타냅니다.
  • 삽입된 JavaScript 코드를 처음 분석한 결과, 주요 목적은 거래를 조작하여 서명 과정에서 내용을 변경하는 것이었습니다.
  • 또한, 주입된 JavaScript 코드 분석 결과, 거래 출처가 두 계약 주소 중 하나와 일치하는 경우에만 실행되는 활성화 조건이 밝혀졌습니다. 즉, Bybit의 계약 주소와 현재 식별되지 않은 계약 주소(위협 행위자가 제어하는 ​​테스트 계약과 관련이 있을 가능성이 높음)입니다.
  • 악성 거래가 실행되고 게시된 지 2분 후, JavaScript 리소스의 새 버전이 Safe{Wallet}의 AWS S3 버킷에 업로드되었습니다. 업데이트된 버전에서는 악성 코드가 제거되었습니다.
  • 초기 조사 결과에 따르면 해당 공격은 Safe{Wallet}의 AWS 인프라에서 시작된 것으로 나타났습니다.
  • 지금까지 법의학적 조사에서 Bybit 인프라가 손상된 흔적은 발견되지 않았습니다.

기술 발견

거래를 시작하고 서명하는 데 사용된 호스트에 대한 법의학적 조사 과정에서 다음과 같은 결과가 발견되었습니다.

크롬 브라우저 캐시

Chrome 브라우저 캐시 파일에 대한 법의학적 분석을 통해 세 서명자의 호스트 모두에서 거래 서명 중에 생성된 JavaScript 리소스가 포함된 캐시 파일이 식별되었습니다.

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

캐시된 파일의 내용은 2025년 2월 21일 Safe{Wallet}의 AWS S3 버킷에서 제공된 리소스가 악성 거래가 발생하기 이틀 전인 2025년 2월 19일에 마지막으로 수정되었음을 보여주었습니다.

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

악성 JavaScript 주입

Chrome 검색 기록에서 발견된 JavaScript 코드의 내용은 위협 행위자가 도입한 악의적인 수정 사항을 보여줍니다. 삽입된 코드를 처음 분석한 결과, 해당 코드는 거래 내용을 수정하도록 설계된 것임이 드러났습니다.

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Safe{Wallet} AWS S3 버킷 현재 상태

Safe{Wallet}이 현재 AWS S3 버킷을 통해 제공하는 리소스에는 Chrome 캐시 파일에서 확인된 악성 코드가 포함되어 있지 않습니다.

조사 결과, JavaScript 리소스가 2025년 2월 21일 UTC 14:15:13 및 14:15:32에 수정된 것으로 밝혀졌습니다. 이는 악성 거래가 실행된 후 약 2분 후입니다.

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Safe{Wallet} 인터넷 아카이브

공개 웹 아카이브를 사용하여 Safe{Wallet} 리소스를 추가로 분석한 결과 2025년 2월 19일에 촬영된 Safe{Wallet} JavaScript 리소스의 스냅샷 두 개가 발견되었습니다. 이러한 스냅샷을 검토한 결과, 첫 번째 스냅샷에는 원래의 합법적인 Safe{Wallet} 코드가 포함되어 있는 반면 두 번째 스냅샷에는 악성 JavaScript 코드가 있는 리소스가 포함되어 있음이 밝혀졌습니다. 이는 악성 거래를 생성한 악성 코드가 Safe{Wallet}의 AWS 인프라에서 직접 유출되었음을 시사합니다.

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

Safe Wallet은 안전한가요? Bybit 포렌식 조사 보고서 간략히 살펴보기

결론적으로

세 개의 서명 호스트에 대한 법의학적 조사 결과, 공격의 근본 원인은 Safe{Wallet} 인프라에서 유래된 악성 코드라는 사실이 밝혀졌습니다.

Bybit의 인프라에서는 손상의 징후가 발견되지 않았습니다.

이러한 결과를 더욱 확인하기 위한 조사가 계속 진행되고 있습니다.

공유하기:

작성자: Foresight News

이 글은 PANews 입주 칼럼니스트의 관점으로, PANews의 입장을 대표하지 않으며 법적 책임을 지지 않습니다.

글 및 관점은 투자 조언을 구성하지 않습니다

이미지 출처: Foresight News 침해가 있는 경우 저자에게 삭제를 요청하세요.

PANews 공식 계정을 팔로우하고 함께 상승장과 하락장을 헤쳐나가세요
Telegram 교류 그룹
Telegram 정보 채널
@PANews
추천 읽기
27분 전
36분 전
1시간 전
1시간 전
1시간 전
2시간 전

인기 기사

업계 뉴스
시장 핫스팟
엄선된 읽을거리
구독 클릭

엄선 특집

App内阅读