新闻来源连结： https://abmedia.io/bybit-hack-safe 新闻本文： Bybit遭骇事件真相大白：多签钱包Safe前端遭入侵窜改，供应链攻击再成隐忧 "上周，加密货币交易所 Bybit 遭遇史上最大规模的骇客攻击，损失价值约 15 亿美元的 ETH。外界最初猜测问题出在 Bybit 自身的安全漏洞，但随着调查深入，真相逐渐浮出水 面，最终确认是其合作夥伴多签智能合约钱包 Safe 的开发者设备遭入侵，窜改 Safe 前 端所致。" 真相大白：Safe 前端遭供应链攻击 根据 Bybit 与 Safe 的共同调查，漏洞原因指向了 Safe 的基础设施，而非 Bybit 内部 系统。 Safe 官方声明指出，北韩骇客组织 Lazarus Group 透过入侵一名 Safe 开发者的设备， 将恶意程式码注入前端网站「app.safe.global」，成功绕过多重签名验证，并伪装成正 常交易提交批准。Verichains 调查报告显示，该恶意程式码具有针对性，只有在特定条 件下 (如操作 Bybit 帐户时) 才会触发，以避免影响普通用户，达到掩人耳目的效果。 该报告更进一步发现，Safe 的 AWS S3、CloudFront 帐户或 API 密钥可能已遭到泄露或 盗用，导致前端档案遭到入侵替换。资安专家余弦补充，这是一起典型的供应链攻击： "骇客利用前端篡改欺骗签名者，而非直接攻破 Safe 的智能合约。" Safe 团队强调，经外部安全研究人员一致确认，Safe 的智能合约本身并无漏洞，问题完 全出在开发者设备遭入侵。 本次攻击暴露了多签钱包的技术性弱点、以及供应链攻击的致命风险，更让 Safe 作为业 界主流安全解决方案的可靠性遭受质疑。 币安创办人 CZ 对 Safe 的声明表示失望，认为其用词模糊，未能解答关键问题，对此提 出五点质疑： 1.开发者设备如何被入侵？ 2.该设备为何能直接影响 Bybit 帐户？ 3.多签验证如何被绕过？ 4. 15 亿美元是否是 Safe 管理的最大地址？ 5.其他多签钱包能从中吸取什麽教训？。 同时，CZ 还幽默回应社群提问「币安有使用 Safe 服务吗」： "若币安也用 Safe，那麽 Bybit 可能就不会成为目标。" 评论： 搞了半天 结果不是交易所被骇 骇客直接通过safe去攻击多签用户 Bybit真衰 钱太多被针对 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.224.165.222 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1740629377.A.F48.html