Hackers

フォレンジック調査官は、北朝鮮のLazarusハッカーがマルチシグウォレットプラットフォームSafe{Wallet}の開発者のデバイスをハッキングした後、Bybitから15億ドルを盗んだことを発見しました。

BybitのCEOであるBen Zhouは、SygniaとVerichainsによる2つの調査の結論を共有し、Safe{Wallet}のインフラから攻撃が発信されたことを明らかにしました。

「この攻撃は、Bybitの署名者がアクセスするapp.safe.globalに悪意のあるJavaScriptを注入することで、特にBybitを標的にしていました。このペイロードは、特定の条件が満たされたときにのみ起動するように設計されていました。この選択的な実行により、バックドアは一般ユーザーには検出されないまま、価値の高い標的を危険にさらすことができました」と、Verichains は述べています。

「BybitのSignersのマシンから得られた調査結果と、Wayback Archiveにキャッシュされた悪意のあるJavaScriptペイロードに基づき、Safe.GlobalのAWS S3またはCloudFrontアカウント/API Keyが流出または侵害された可能性が高いと強く結論づけました。Globalのアカウント/API Keyが流出または侵害された可能性が高い。”

“悪意のあるトランザクションが実行され公開された2分後、JavaScriptリソースの新しいバージョンがSafe{Wallet}のAWS S3バケットにアップロードされました。これらの更新されたバージョンは、悪意のあるコードが削除されていました」とSygniaは付け加えた。

Sygniaはまた、Safe{Wallet}のAWS S3バケットから提供され、Bybitの暗号資産を攻撃者が管理するウォレットにリダイレクトするために使用された悪意のあるJavaScriptコード(Bybitのイーサリアムマルチシグコールドウォレットをターゲット)が、2月21日の攻撃の2日前に修正されていたことも発見しました。事件発生後、SygniaがBybitのインフラをフォレンジック調査したところ、侵害の証拠は発見されませんでした。

彼らの結論はまた、Safe Ecosystem Foundationが本日発表した声明でも確認され、攻撃はまずSafe {Wallet}の開発者マシンにハッキングすることで行われ、これにより脅威行為者はBybitが運営するアカウントにアクセスすることができました。

「LazarusグループによるBybitへの標的型攻撃に関するフォレンジック調査の結果、Bybit Safeを標的としたこの攻撃は、侵害されたSafe{Wallet}開発者マシンによって実現され、その結果、偽装された悪意のあるトランザクションが提案されたと結論づけられました」とSafeは述べています。

Safe{Wallet} confirmation tweet

この事件以来、Safe{Wallet}チームは段階的なロールアウトによってイーサリアムのメインネット上でSafe{Wallet}を復元し、Bybit暗号強盗で使用された署名デバイス/方法であるネイティブLedger統合を一時的に削除しました。

Safe{Wallet}サービスを復旧させるための段階的なロールアウトでは、監視アラートの強化やトランザクションのハッシュ、データ、署名の追加検証など、さらなるセキュリティ対策も追加されました。

Safe{Wallet}のチームによると、すべてのインフラを完全に再構築し、再構成し、すべての認証情報をローテーションして、攻撃ベクトルが取り除かれ、今後の攻撃に使用できないようにしたという。

外部のセキュリティ研究者によるフォレンジック・レビューでは、Safeのスマート・コントラクトやフロントエンドおよびサービスのソースコードに脆弱性は見つからなかったが、Safeはユーザーに対し、取引に署名する際には引き続き警戒し、「細心の注意を払う」よう勧告している。

史上最大の暗号強盗

報道されているように、北朝鮮のハッカーは、Bybitのコールドウォレットの1つからホットウォレットへの計画的な資金移動を傍受しました。その後、彼らは暗号資産を自分たちのコントロール下にあるブロックチェーンアドレスにリダイレクトし、現在史上最大の暗号強盗と考えられている15億ドル以上を吸い上げることを可能にしました。

“2025年2月21日午後12時30分(UTC)頃、Bybitは当社のイーサリアム(ETH)コールドウォレットの1つで、定期的な送金処理中に不正な動きを検知しました。この転送は、当社のETHマルチシグコールドウォレットからホットウォレットへのETHの予定された移動の一部でした。

「残念ながら、このトランザクションはスマートコントラクトのロジックを変更し、署名インターフェイスをマスクする高度な攻撃によって操作され、攻撃者はETHコールドウォレットを制御することができました。その結果、15億ドル以上に相当する40万以上のETHとstethが未確認のアドレスに送金されました。”

その後、BybitはETHのリザーブを回復し、CEOは、失われた資産が完全に回復されないとしても、暗号取引所は支払能力があると述べた。

この攻撃を調査している間、暗号詐欺調査者ZachXBTは、攻撃者が盗まれたBybit資金の一部を以前PhemexBingXPoloniexのハッキングで使用されたイーサリアムアドレスに送ったことから、Bybitハッカーと悪名高い北朝鮮のLazarus脅威グループとのつながりを発見しました。

Phemex/Bybit overlap
PhemexとBybitの重複(ZachXBT)

ZachXBTの調査結果は、ブロックチェーン・インテリジェンス企業のTRM Labsとブロックチェーン分析企業のEllipticによっても確認され、彼らは「Bybitのハッカーが管理するアドレスと、以前の北朝鮮による窃盗に関連するアドレスの間にかなりの重複が観察された」ことを発見し、追跡の試みを遅らせようとするハッカーたちの試みに関する詳細な情報を共有しました。

12月、ブロックチェーン分析会社Chainalysisは、北朝鮮のハッカーが2024年に47の暗号強盗で13億4000万ドルを盗んだと発表した。

Ellipticは今週、彼らが “2017年以来60億ドル以上の暗号資産を盗み、その収益は国の弾道ミサイル計画に使われたと報告されている“と付け加えた。