安全研究人员发现，朝鲜 Lazarus 黑客在入侵多 sig 钱包平台 Safe{wallet} 的开发人员设备后，从 Bybit 窃取了 15 亿美元。

Bybit 首席执行官分享了 Sygnia 和 Verichains 的两项调查的结论，这两项调查都发现攻击源自 Safe{Wallet} 的基础设施。此次攻击通过向 app.safe 注入恶意 JavaScript 专门针对 Bybit。

global，由 Bybit 的签名者访问，有效载荷被设计为只有在满足某些条件时才会激活。这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

根据对 Bybit 签署人机器的调查结果以及在 Wayback Archive 上发现的缓存恶意 JavaScript 有效负载，Sygnia 认为 AWS S3 或 CloudFront 帐户 / 安全的 API 密钥。环球公司很可能被泄露或受损。

" 在恶意交易执行并发布两分钟后，新版本的 JavaScript 资源被上传到 Safe{Wallet} 的 AWS S3 桶中。这些更新版本已经删除了恶意代码。"Sygnia 补充道。

Sygnia 还发现，恶意 JavaScript 代码（针对 Bybit 的以太坊 Multisig 冷钱包）来自 Safe{Wallet} 的 AWS S3 桶，用于将 Bybit 的加密资产重定向到攻击者控制的钱包，并在 2 月 21 日攻击前两天被修改。事件发生后，叙利亚对 Bybit 的基础设施进行了调查，没有发现任何被入侵的证据。

安全生态系统基金会在一份声明中证实了他们的结论，该声明透露，攻击是通过首先入侵 Safe{wallet} 开发人员的机器进行的，该机器为威胁者提供了访问 Bybit 运营的帐户的权限。

自事件发生以来，Safe{Wallet} 团队已经在以太坊主网上恢复了 Safe{Wallet}，并分阶段推出，暂时删除了本机分类帐集成，即 Bybit 加密抢劫中使用的签名设备 / 方法。

恢复 Safe{Wallet} 服务的分阶段推出还增加了进一步的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。

Safe{Wallet} 的团队表示，他们已经完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除，不能在未来的攻击中使用。

尽管外部安全研究人员进行的取证审查没有发现外管局智能合约或其前端和服务的源代码存在漏洞，但建议用户在签署交易时保持警惕。