作者：Frank，PANews

2025年2月21日，加密货币交易所Bybit遭遇史诗级黑客攻击，价值14.6亿美元的资产被朝鲜黑客组织Lazarus盗走。追缴资产之余，更重要的是查明攻击路径，以避免新的攻击事件发生。2月27日，Bybit发布黑客取证报告，调查直指资金被盗因Safe基础设施漏洞导致。但似乎Safe对于这份指控并不愿接受。在声明中承认开发者被入侵，但把主要原因归咎于朝鲜黑客的高明手段和Bybit的操作失误。在谁的责任更大的讨论中上演“罗生门”，因此也引发了行业内对基础设施信任、安全范式与人性博弈中的大争论。

攻击源于Safe{Wallet}前端云服务被攻击

根据Bybit发布的两份调查报告（Bybit事件初步报告和Bybit临时调查报告）显示，对 Safe{Wallet}资源的进一步分析发现了两个在 2025年2月19日拍摄的JavaScript资源快照。这些快照的审查显示，第一个快照包含了原始的、合法的Safe{Wallet}代码，而第二个快照则包含了带有恶意JavaScript代码的资源。这表明，创建恶意交易的恶意代码直接来源于Safe{Wallet}的AWS基础设施。

报告的结论显示：根据对Bybit的签名者机器的调查结果以及在Wayback Archive中发现的缓存恶意JavaScript有效载荷，我们强烈得出结论，Safe.Global的AWS S3或CloudFront账户/API密钥可能已泄露。

简单总结来说，这次攻击事件当中最初的来源是黑客通过攻击Safe{Wallet}开发者的设备，篡改了AWS S3存储桶中的前端JavaScript文件，植入针对Bybit冷钱包地址的定向恶意代码。先前，Safe也曾发布过一个简单的调查报告，报告中声明未发现代码漏洞和恶意依赖（即供应链攻击），随后Safe进行了全面审查，并暂停了Safe{Wallet} 功能。这次的调查结果似乎推翻了Safe之前的调查结果。

Safe避重就轻声明引发更多质疑

Bybit截至目前对Safe在本次事件当中应承担何种责任并未表态，但社交媒体上在报告发布后纷纷开始讨论Safe的安全漏洞问题并有一些声音认为，Safe应该对此负责并作出赔付。

Safe官方对于这份报告的态度显然并不认可。在其官方的声明当中，在官方声明中，Safe将责任切割为三个层级：技术方面，强调智能合约未受攻击，强调产品的安全性。​运维方面，承认开发者设备被入侵导致AWS密钥泄露，但归咎于朝鲜黑客组织的国家级攻击。用户方面，建议用户"签署交易时保持警惕"，暗示Bybit未充分验证交易数据。

分享链接： - 区块链日报

免责声明：本站所有内容不构成投资建议，币市有风险、投资请慎重。