攻擊技術探討

• 智能合約(Smart contract)操縱：駭客能夠竄改交易簽署介面，這表示他們可能利用了智能合約中的漏洞，更改了底層的合約邏輯。這種攻擊手法可能涉及對智能合約程式碼的逆向工程，找出可被攻擊的弱點。
• 多重簽名機制繞過：Bybit 使用多重簽名冷錢包(Multisig cold wallet)來提高安全性。然而，攻擊者成功繞過了這種機制，控制了受影響的 ETH 冷錢包。這可能表示多重簽名的實施存在缺陷，例如私鑰管理不當或簽名流程中的漏洞。
• 交易偽造：攻擊者可能使用了交易偽造技術，創建看似合法的交易，但實際上將資金轉移到他們控制的地址。這種技術可能涉及對交易資料的篡改和重新廣播。
• 網路釣魚或內部威脅：雖然目前沒有明確證據，但不能排除攻擊者透過網路釣魚或其他社會工程手段，獲取了 Bybit 內部人員的憑證，從而發動攻擊的可能性。此外，內部人員也可能與攻擊者合謀，直接參與竊盜活動。
• 進階持續性威脅 (APT)：這起攻擊事件的複雜性表明，攻擊者可能使用了 APT 手法，在 Bybit 的系統中潛伏了相當長的時間，收集情報並尋找可利用的漏洞。

防禦措施

• 強化智能合約安全：Bybit 需要對其智能合約進行全面的安全審計，找出潛在的漏洞並加以修補。此外，Bybit 應採用更嚴格的智能合約開發和測試流程，以確保合約的安全性。
• 改進多重簽名機制：Bybit 應審查其多重簽名冷錢包的實施，確保私鑰得到妥善保護，並且簽名流程不存在漏洞。此外，Bybit 可以考慮使用硬體安全模組 (HSM) 來保護私鑰，提高安全性。
• 加強網路安全防禦：Bybit 應加強其網路安全防禦體系，包括部署入侵偵測系統 (IDS)、入侵防禦系統 (IPS) 和 Web 應用程式防火牆 (WAF)，以及實施嚴格的存取控制和身份驗證機制。
• 實施威脅情報共享：Bybit 應積極參與威脅情報共享，與其他交易所和安全機構合作，共同應對網路攻擊。透過共享威脅情報，Bybit 可以及早發現潛在的攻擊，並採取相應的防禦措施。
• 加強員工安全意識培訓：Bybit 應加強員工的安全意識培訓，提高員工對網路釣魚和其他社會工程攻擊的警覺性。此外，Bybit 應建立完善的內部威脅偵測機制，以及早發現和應對內部威脅。
• 定期安全審計：Bybit 應定期進行安全審計，評估其安全措施的有效性，並根據最新的威脅情勢進行調整。安全審計應由獨立的第三方安全機構執行，以確保審計的客觀性和公正性。
• 事件應變計劃：Bybit 應制定完善的事件應變計劃，明確應對網路攻擊的流程和責任。事件應變計劃應包括事件通報、損害控制、調查取證和恢復營運等環節。
• 與安全專家和執法部門合作：Bybit 應與網路安全專家和執法機構建立緊密的合作關係，以便在發生網路攻擊時，能夠獲得及時的支援和協助。

歸因與影響

• 獨立研究員 ZachXBT將 Bybit 駭客攻擊與上個月的 Phemex 駭客攻擊聯繫起來。
• Elliptic 和 Arkham Intelligence 已確認 Lazarus Group 可能是罪魁禍首。
• Lazarus Group 是位於北韓的威脅行為者，以策劃多起加密貨幣搶劫事件為國家獲取非法收入而聞名。
• 2024 年，Lazarus 集團涉嫌在 47 次加密貨幣駭客攻擊中竊取了 13.4 億美元，佔該期間所有非法加密貨幣的 61%。
• 位址 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 已與此漏洞相關。

加密貨幣搶劫案日益猖獗原因

加密貨幣搶劫案日益猖獗，原因如下：

• 獎勵的豐厚性質
• 追究惡意行為者責任的挑戰。
• 許多組織不熟悉加密貨幣和 Web3 技術，從而帶來機會。

這一事件凸顯了加密貨幣領域對強有力的安全措施和警覺性的日益增長的需求