知名 YouTuber 老高昨日發布影片,對 Bybit 被盜事件進行剖析,指駭客透過社會工程學滲透 Bybit 的多簽機制,成功騙取三位簽署人的授權而得手,但這三位簽署人其實有辦法避免這起憾事發生,不過資安專家表示,老高的部分解讀可能有誤。
(前情提要:Bybit 被盜50萬枚ETH全洗白「成隱藏賣壓」?CEO發公告澄清:77%金流可追蹤)
(背景補充:Bybit CEO親述生死72小時:財務長抖顫地說損失41萬枚ETH、內部有個 P-1 緊急事件機制…)
加密貨幣交易所 Bybit 上月 21 日遭駭客攻擊,駭客從 Bybit 冷錢包竊走約 15 億美元的 ETH,成為歷來加密貨幣業最大規模竊案,北韓駭客組織「拉撒路集團」(Lazarus Group)被認為是這起駭客攻擊的幕後黑手。
老高談 Bybit 被盜事件
知名 YouTuber 老高昨日發布影片,對 Bybit 被盜事件及拉撒路集團進行剖析,指出 Bybit 的冷錢包採用多重簽名機制,即需三位負責人依序簽名才能解鎖資金,理論上極為安全。
然而,老高指出,駭客鎖定第一位簽署人,透過社交工程植入惡意軟體至其設備中,當該員工開啟交易介面時,看似無異狀,實則「這個銀行帳戶的介面是假的」,轉帳資訊已被修改,他在毫無察覺的情況下完成簽名,接著第二人、第三人也未察覺異狀就簽名,導致錢包被盜:
一旦有了三把鑰匙,這個錢包就歸你(駭客)了,你想怎麼取怎麼取。
老高表示,第三個簽名的是 Bybit 執行長 Ben Zhou,他簽名時,冷錢包上的螢幕顯示的資訊其實不像電腦能被駭,是駭不掉的,按理來說,如果他仔細查看這個小螢幕,可能就會發現異狀而不簽署,最終就不會被盜:
但是他為什麼沒有發現呢?這也不怪他,這也是虛擬貨幣的一個弊端,虛擬貨幣的帳戶是不記名的,不像我們一樣的帳戶,一個帳號,一個名字,這兩個都對上才行 是吧?看張三李四,一看就知道名字不對,就會發現問題了。
虛擬貨幣不記名,只有個帳號。而這個帳號又不是6位數字或者8位數字,而是一長串幾十位的亂碼數字,大家都差不多,所以要人一位一位地確認,長得一模一樣是不現實的。
而且,他經常這麼確認這個事情,所以不會懷疑這兩個號是不對的,然後就點了確認。結果,這最高負責人也點了確認,最後資金就轉出去了。如果這個事是AI確認的,問題可能就小一點。
資安專家指老高有誤解
不過資安專家向動區表示,老高說加密貨幣的弊端,就是地址是亂碼很難確認交易,Bybit 三個多簽的人,每個人都有檢查的機會,老高可能錯誤理解這件事情,防盜 SOP 都是檢查有沒有被歹徒塞入額外交易,然後讓簽署人不小心按到確認:
實際上問題是他們一開始簽進去的多簽介面就是假的,Ben Zhou在直播中有強調他們有經過確認,Ledger上面的數據也確認無誤(跟一開始發起的是一樣的),但還是被盜了,所以怎麼檢查也不會查到,即使有確認也沒用(因為數據什麼的都會跟第一個簽名的一樣)。
在冷錢包上驗證資訊你無法得知,你這筆交易是否與社會工程學駭入有關,這需要從一開始就要做防範,這也是第一次多簽錢包被利用的案例,不屬於只靠三人確認冷錢包資訊就能防範的範圍。
該專家指出, Bybit 被盜事件促使業界重新檢視資安防護標準,那就是多簽發起人在發起交易前,需要跑一遍乾淨裝置與排除社會工程學影響的 SOP,以加強防範措施,避免類似慘劇再次發生。
📍相關報導📍
Bybit 回應 Safe 錢包事件:確認安全性100%完整,基礎設施未受影響