Bybit 前端签名漏洞利用 | AI生成和翻译
问题: Bybit 如何因黑客攻击损失超过 10 亿美元的加密资产?技术细节是什么——特别是前端如何加载恶意脚本以及签名如何被操纵?
回答:
Bybit 黑客事件——完整技术剖析(2025 年 2 月 21 日)
概述
2025 年 2 月 21 日,Bybit 遭受重大安全漏洞,导致近价值 15 亿美元的 Ether (ETH) 被盗,成为加密货币历史上最大的数字盗窃案。FBI 正式将此次攻击归咎于朝鲜,并将这一特定恶意网络活动称为 “TraderTraitor”。
攻击链——逐步剖析
步骤 1:初始入侵——开发者机器
Mandiant 初步报告的片段显示,一台属于 Safe{Wallet} 开发者(称为 Developer1)的 macOS 工作站于 2025 年 2 月 4 日被入侵。
入侵后,攻击者使用窃取的 AWS 凭证访问 Safe{Wallet} 的云存储(S3 bucket),该存储托管 Bybit 钱包管理应用的 JavaScript。
步骤 2:向 AWS S3 注入恶意 JavaScript
2 月 19 日,托管 Safe{Wallet} Web 界面的 AWS S3 bucket 中的 JavaScript 资源被修改,并注入操纵交易的恶意代码。该恶意代码包含激活条件,仅针对特定 Bybit 冷钱包地址执行交易操纵。
修改后的 UI 引入两个关键变化:(1) 针对性激活——恶意代码仅针对 Bybit 的多签签名者(通过其钱包地址识别)触发。其他 Safe 用户未见异常。(2) 注入的负载隐秘地更改了交易参数。
步骤 3:签名事件——UI 欺骗
当 Bybit 的授权签名者审查看似常规的内部转账时,他们实际上批准了一个将冷钱包智能合约控制权移交给攻击者的请求。
Safe{Wallet} UI 显示合法交易,而不同负载被发送至签名者的 Ledger 硬件设备。签名者批准了 UI 中显示的交易,从而为恶意负载提供了攻击者的三个有效签名。
这是关键欺骗:屏幕显示的内容 ≠ 硬件钱包实际签名的内容。
步骤 4:delegatecall 漏洞利用——智能合约接管
注入代码并未使用正常的 execTransaction(针对 30,000 ETH,operation: 0,即常规调用),而是替换为 delegatecall 负载——operation: 1——指向攻击者控制的合约。仅翻转一个参数就足以让攻击者完全控制并替换 Safe 的钱包逻辑。
由于代理使用 delegatecall,攻击者的 transfer() 函数覆盖了 slot 0 处的 masterCopy 值,将整个 Safe 钱包实现替换为恶意实现地址。这赋予了攻击者冷钱包的完全控制权。
通俗解释:
operation=0→ 正常 ETH 转账(安全)operation=1→delegatecall→ 重写钱包自身的合约逻辑为恶意逻辑 → 攻击者控制一切
步骤 5:资金抽取并清除证据
恶意交易执行后约两分钟,compromised JavaScript 资源的新版本被上传至 Safe{Wallet} 的 AWS S3 bucket,移除恶意代码以掩盖痕迹。
攻击者将约 401,000 ETH——价值近 15 亿美元——转移至其控制的地址,然后通过复杂的中间地址网络混淆踪迹。
为什么多签未能保护 Bybit
Bybit 使用多签旨在保护用户免受单一故障点影响,需要多名个人——包括 CEO Ben Zhou——为每笔交易签名。然而,攻击者通过在前端软件中嵌入恶意代码,使交易看起来合法,从而绕过了这一机制。
Safe{Wallet} 未实施 Subresource Integrity (SRI) hashing 来检测修改的前端代码,也没有实时警报机制来标记应用的未经授权编辑。更强的登录安全措施如多因素认证或 IP 白名单也缺失。
签名者审查交易时,电脑显示伪造交易欺骗了他们,但其硬件钱包显示恶意交易。他们本可在硬件钱包上发现,但 calldata 在钱包上验证起来很棘手。
安全失败总结
| Layer | What Failed |
|---|---|
| Developer machine | Compromised via phishing/social engineering (Feb 4) |
| AWS S3 credentials | Stolen, used to overwrite frontend JS (Feb 19) |
| SRI hashing | Not implemented — no tamper detection |
| Safe UI | Showed fake legit transaction to signers |
| Ledger hardware wallet | Showed real malicious calldata — but signers didn’t verify |
| Multisig (3-of-6) | All 3 required signatures collected — on the malicious tx |
| Smart contract | delegatecall replaced masterCopy, giving full control to attacker |
后续影响
不到 72 小时内,Bybit 通过紧急贷款和大额存款拼凑了数十万 ether 代币,保持客户提现开放。追回被盗资产仍面临挑战;在过去朝鲜黑客的加密货币盗窃案中,威胁行为者几乎立即将盗窃资金转换为 Bitcoin,后者由于 Bitcoin 的 UTXO 交易模型比 ETH 更难追踪。
参考资料:
- Chainalysis — Bybit Hack & DPRK Analysis
- Sygnia — Investigation into the Bybit Hack
- NCC Group — In-Depth Technical Analysis
- BlockSec — Web2 Breach Enables Largest Crypto Hack
- Dfns — The Bybit/Safe Hack
- Cyfrin — Safe Wallet Hack / Bybit Exploit
- BleepingComputer — Lazarus Hacked Bybit via Safe Developer Machine
- FBI IC3 — PSA on North Korea Bybit Hack
- CSIS — The ByBit Heist