Аналіз великомасштабної крадіжки коштів з холодного гаманця Bybit
21 лютого 2025 року на одному з відомих торгових майданчиків стався серйозний інцидент безпеки з холодним гаманець Ethereum, що призвело до втрати активів приблизно на 1,46 мільярда доларів, ставши одним з найбільших інцидентів безпеки в історії Web3.0.
Огляд подій
14:16:11 UTC того дня зловмисник за допомогою ретельно спланованої фішингової атаки успішно змусив підписувача холодного гаманця підписати шкідливу транзакцію. Цю транзакцію було замасковано під звичну операцію, але насправді вона замінила реалізаційний контракт багатопідписного гаманця Safe на шкідливий контракт з бекдором. Зловмисник потім скористався цим бекдором, щоб перевести значні активи з гаманця.
Деталі атаки
Підготовка до атаки: зловмисник заздалегідь протягом трьох днів розгорнув два шкідливих контракти, які містять функції для перенаправлення коштів і зміни слотів зберігання.
Обман підпису: Зловмисник успішно змусив усіх трьох власників багатопідписного Гаманець підписати угоду, яка виглядала нормально, але насправді була шкідливою.
Оновлення контракту: шляхом виконання операції deleGatecall, зловмисник змінює адресу реалізації контракту Safe (masterCopy) на адресу шкідливого контракту.
Викрадення коштів: використовуючи оновлений шкідливий контракт з функціями sweepETH() та sweepERC20(), зловмисник перемістив всі активи з холодного гаманця.
Аналіз вразливостей
Ядром цього інциденту є успішна атака соціальної інженерії. Зловмисник через ретельно розроблений інтерфейс змусив транзакції на Safe{Wallet} виглядати як нормальні операції, в той час як дані, що надіслалися до холодного гаманця, були підроблені. Підписувач не перевірив деталі транзакції на апаратному пристрої, що в кінцевому підсумку призвело до успіху атаки.
Аналіз показує, що цю атаку, можливо, спланувала та реалізувала якась відома хакерська організація, а її методи схожі на нещодавні випадки крадіжки великих активів.
Уроки досвіду
Посилення безпеки обладнання: використання суворих політик безпеки на кінцевих пристроях, спеціалізованих підписних пристроїв і тимчасових операційних систем.
Підвищення обізнаності про безпеку: регулярно проводити симуляції фішингових атак та вправи червоної команди.
Уникайте сліпого підпису: ретельно перевіряйте деталі кожної транзакції на апаратному гаманеці.
Багаторазова перевірка: використання симуляції торгів і механізму двох пристроїв для перевірки.
Будьте обережні з аномаліями: у разі виявлення будь-яких аномалій негайно припиніть торгівлю та розпочніть розслідування.
Ця подія знову підкреслила безпекові виклики, з якими стикається сфера Web3.0, особливо стосовно систематичних атак на високовартісні цілі. З розвитком методів атак торгові платформи та установи Web3.0 повинні комплексно підвищувати рівень безпекового захисту, щоб протистояти дедалі складнішим зовнішнім загрозам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
8
Поділіться
Прокоментувати
0/400
SerumSurfer
· 10год тому
Сліпа підписка - це податок на інтелект.
Переглянути оригіналвідповісти на0
SleepTrader
· 18год тому
На ланцюгу прийшов великий великий кавун
Переглянути оригіналвідповісти на0
GateUser-c802f0e8
· 18год тому
Знову виною сліпого підпису!
Переглянути оригіналвідповісти на0
MrRightClick
· 18год тому
Ще одна серйозна уразливість, справді вражає.
Переглянути оригіналвідповісти на0
WhaleMinion
· 18год тому
Нехай краще піти і пограбувати банк
Переглянути оригіналвідповісти на0
JustHereForAirdrops
· 18год тому
невдахи遭殃又一年
Переглянути оригіналвідповісти на0
Layer2Arbitrageur
· 18год тому
ngmi з таким сміттєвим рівнем валідації підписів. буквально спалюю гроші без мультипідпису smh
Рекордні 14,6 мільярдів доларів було вкрадено: аналіз та висновки великої безпекової події з холодним гаманцем
Аналіз великомасштабної крадіжки коштів з холодного гаманця Bybit
21 лютого 2025 року на одному з відомих торгових майданчиків стався серйозний інцидент безпеки з холодним гаманець Ethereum, що призвело до втрати активів приблизно на 1,46 мільярда доларів, ставши одним з найбільших інцидентів безпеки в історії Web3.0.
Огляд подій
14:16:11 UTC того дня зловмисник за допомогою ретельно спланованої фішингової атаки успішно змусив підписувача холодного гаманця підписати шкідливу транзакцію. Цю транзакцію було замасковано під звичну операцію, але насправді вона замінила реалізаційний контракт багатопідписного гаманця Safe на шкідливий контракт з бекдором. Зловмисник потім скористався цим бекдором, щоб перевести значні активи з гаманця.
Деталі атаки
Підготовка до атаки: зловмисник заздалегідь протягом трьох днів розгорнув два шкідливих контракти, які містять функції для перенаправлення коштів і зміни слотів зберігання.
Обман підпису: Зловмисник успішно змусив усіх трьох власників багатопідписного Гаманець підписати угоду, яка виглядала нормально, але насправді була шкідливою.
Оновлення контракту: шляхом виконання операції deleGatecall, зловмисник змінює адресу реалізації контракту Safe (masterCopy) на адресу шкідливого контракту.
Викрадення коштів: використовуючи оновлений шкідливий контракт з функціями sweepETH() та sweepERC20(), зловмисник перемістив всі активи з холодного гаманця.
Аналіз вразливостей
Ядром цього інциденту є успішна атака соціальної інженерії. Зловмисник через ретельно розроблений інтерфейс змусив транзакції на Safe{Wallet} виглядати як нормальні операції, в той час як дані, що надіслалися до холодного гаманця, були підроблені. Підписувач не перевірив деталі транзакції на апаратному пристрої, що в кінцевому підсумку призвело до успіху атаки.
Аналіз показує, що цю атаку, можливо, спланувала та реалізувала якась відома хакерська організація, а її методи схожі на нещодавні випадки крадіжки великих активів.
Уроки досвіду
Посилення безпеки обладнання: використання суворих політик безпеки на кінцевих пристроях, спеціалізованих підписних пристроїв і тимчасових операційних систем.
Підвищення обізнаності про безпеку: регулярно проводити симуляції фішингових атак та вправи червоної команди.
Уникайте сліпого підпису: ретельно перевіряйте деталі кожної транзакції на апаратному гаманеці.
Багаторазова перевірка: використання симуляції торгів і механізму двох пристроїв для перевірки.
Будьте обережні з аномаліями: у разі виявлення будь-яких аномалій негайно припиніть торгівлю та розпочніть розслідування.
Ця подія знову підкреслила безпекові виклики, з якими стикається сфера Web3.0, особливо стосовно систематичних атак на високовартісні цілі. З розвитком методів атак торгові платформи та установи Web3.0 повинні комплексно підвищувати рівень безпекового захисту, щоб протистояти дедалі складнішим зовнішнім загрозам.