加密货币交易所 Bybit 上月 21 日遭骇客攻击,骇客从 Bybit 冷钱包窃走约 15 亿美元的 ETH,成为历来加密货币业最大规模窃案,北韩骇客组织「拉撒路集团」(Lazarus Group)被认为是这起骇客攻击的幕后黑手。
老高谈 Bybit 被盗事件
知名 YouTuber 老高昨日发布影片,对 Bybit 被盗事件及拉撒路集团进行剖析,指出 Bybit 的冷钱包采用多重签名机制,即需三位负责人依序签名才能解锁资金,理论上极为安全。
然而,老高指出,骇客锁定第一位签署人,透过社交工程植入恶意软体至其设备中,当该员工开启交易介面时,看似无异状,实则「这个银行帐户的介面是假的」,转帐资讯已被修改,他在毫无察觉的情况下完成签名,接著第二人、第三人也未察觉异状就签名,导致钱包被盗:
一旦有了三把钥匙,这个钱包就归你(骇客)了,你想怎么取怎么取。
老高表示,第三个签名的是 Bybit 执行长 Ben Zhou,他签名时,冷钱包上的萤幕显示的资讯其实不像电脑能被骇,是骇不掉的,按理来说,如果他仔细查看这个小萤幕,可能就会发现异状而不签署,最终就不会被盗:
但是他为什么没有发现呢?这也不怪他,这也是虚拟货币的一个弊端,虚拟货币的帐户是不记名的,不像我们一样的帐户,一个帐号,一个名字,这两个都对上才行 是吧?看张三李四,一看就知道名字不对,就会发现问题了。
虚拟货币不记名,只有个帐号。而这个帐号又不是6位数字或者8位数字,而是一长串几十位的乱码数字,大家都差不多,所以要人一位一位地确认,长得一模一样是不现实的。
而且,他经常这么确认这个事情,所以不会怀疑这两个号是不对的,然后就点了确认。结果,这最高负责人也点了确认,最后资金就转出去了。如果这个事是AI确认的,问题可能就小一点。
资安专家指老高有误解
不过资安专家向动区表示,老高说加密货币的弊端,就是地址是乱码很难确认交易,Bybit 三个多签的人,每个人都有检查的机会,老高可能错误理解这件事情,防盗 SOP 都是检查有没有被歹徒塞入额外交易,然后让签署人不小心按到确认:
实际上问题是他们一开始签进去的多签介面就是假的,Ben Zhou在直播中有强调他们有经过确认,Ledger上面的数据也确认无误(跟一开始发起的是一样的),但还是被盗了,所以怎么检查也不会查到,即使有确认也没用(因为数据什么的都会跟第一个签名的一样)。
在冷钱包上验证资讯你无法得知,你这笔交易是否与社会工程学骇入有关,这需要从一开始就要做防范,这也是第一次多签钱包被利用的案例,不属于只靠三人确认冷钱包资讯就能防范的范围。
该专家指出, Bybit 被盗事件促使业界重新检视资安防护标准,那就是多签发起人在发起交易前,需要跑一遍干净装置与排除社会工程学影响的 SOP,以加强防范措施,避免类似惨剧再次发生。
文章声明:以上内容(如有图片或视频亦包括在内)除非注明,否则均为谈天说币原创文章,转载或复制请以超链接形式并注明出处。