加密货币交易所Bybit被盗14亿美元后续：朝鲜黑客入侵SafeWallet实现攻击

不过最新调查结果显示此次攻击与 Bybit 完全没有关系，出现安全问题的是 SafeWallet 钱包，实际上朝鲜黑客集团 Lazarus Group 早已实现了入侵，只不过在等待机会只对高价值目标实现攻击。

研究人员称此次攻击专门针对 Bybit 这个高价值目标，黑客将恶意 JavaScript 脚本注入到 Bybit 签名者可以访问的 app.safe.global，而有效的恶意脚本仅在满足某些条件时才会激活，这种选择性执行确保后门不会被普通用户发现。

根据对 Bybit 签名者机器的调查结果以及通过互联网档案馆的网站时光机 (Wayback Archive) 进行回溯，研究人员发现被缓存的恶意 JavaScript 脚本，研究人员得出强烈结论：Safe.Global 在 Amazon AWS S3 或 AWS CloudFront 的账户或 API 可能泄露或被盗用。

在这种情况下黑客可以借助账号或 API 修改 S3 或 CloudFront (AWS 提供的 CDN 服务) 从而添加恶意脚本，研究人员也从 SafeWallet 的 AWS S3 存储桶中发现了针对 Bybit 的以太坊多重签名冷钱包恶意代码。

SafeWallet 发布声明称，对 Lazarus Group 针对 Bybit 发起的攻击取证调查得出结论，此次攻击是通过受损的 SafeWallet 开发者机器实现的 (也就是说 SafeWallet 开发者机器被感染恶意代码后，黑客再通过具有权限的开发者账号添加了恶意 JavaScript 脚本)。

目前该钱包平台已经完全重建并重新配置了所有基础设施，同时轮换了所有凭证，包括 API 密钥等，确保攻击媒介已被删除并且不能在未来的攻击中继续使用。

另外目前研究人员并未在 SafeWallet 的智能合约或其前端和服务的源代码中发现漏洞，只能说黑客预先针对 SafeWallet 开发者发起攻击确实是个天衣无缝的方案。