原文| Odaily星球日報( @OdailyChina )
作者| Asher( @Asher_ 0210 )
昨晚,Bybit 聯合創始人兼首席執行官Ben Zhou在X 平台發布由Sygnia 和Verichains 提供的黑客取證報告,其中披露資金被盜由Safe 基礎設施漏洞導致,此外惡意代碼於UTC 時間2 月19 日15: 29: 25 被部署,特別針對Bybit 的以太坊多簽冷錢包。受此消息影響,SAFE 短時跌幅超10% ,價格從0.5 美元開始下跌,短暫跌破0.44 美元。
接下來,Odaily星球日報為大家梳理對於 Bybit 指出Safe 有漏洞後,Safe 團隊的回應以及社區看法。
Safe 專案簡介
Safe 的前身名為 Gnosis Safe,該專案最早時只是 Gnosis 團隊用戶管理ICO 資金的多簽工具,但後來團隊決定將這一內部工具推廣為公開服務。
隨著專案本身的發展以及行業敘事的迭代(尤其是帳戶抽象概念的興起),如今的Safe 已不再是一個簡單的多簽工具,而是轉型成為了模組化的智能合約帳戶基礎設施,希望透過默認的智能合約帳戶來逐步取代當下主流的EoA 帳戶,為加密貨幣的進一步普及打下基礎。
Safe 公開的融資歷史只有一輪。 2022 年7 月, Safe 宣布完成 1 億美元策略融資, 1kx領投,Tiger Global、AT Capital、Blockchain Capital、Digital Currency Group、IOSG Ventures、Greenfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superscrypt 以及其他 職業球員和行業之子 50) 的球員之列合作夥伴。
Safe 官方對 Bybit 駭客取證報告的回應:合約和前端程式碼並無漏洞
對Bybit 駭客取證報告的回應,Safe{Wallet} 團隊在第一時間進行了詳細調查,分析 Lazarus Group 對Bybit 發起的針對性攻擊(Lazarus Group 也被稱為 “Guardians” 或“Peace or Whois Team”,是一個由數量不明的人員組成的黑客組織,據稱受朝鮮政府控制人員 200 年 2010 年)。
開發者機器遭入侵導致 Bybit 資金被盜,合約和前端程式碼並無漏洞。團隊調查確認,此次攻擊並非透過 Safe 智能合約或前端程式碼漏洞實現,而是透過感染 Safe{Wallet}開發者的機器,進而發起了偽裝的惡意交易。外部安全專家的取證分析未發現系統或合約層面有安全問題,顯示攻擊的根本原因在於開發者機器的安全性漏洞。
在事件發生後,Safe{Wallet}採取了全面的應對措施,重建了所有基礎設施,更新了憑證,並徹底消除了攻擊媒介。目前,Safe{Wallet}已在以太坊主網上恢復正常運營,採用了分階段推出的方式以確保系統安全。同時,Safe{Wallet}團隊將持續推動交易可驗證性,並致力於提升Web3的安全性和產業透明度。儘管 Safe{Wallet}前端正常運作並採取了額外的安全防護措施,團隊仍提醒用戶在簽署交易時需格外小心,並保持高度警覺。
然而,Safe 發布的事件報告並未獲得廣泛認同。報告中的模糊措辭被認為掩蓋了核心問題,正如幣安聯合創始人 CZ 在 X 平台上所言,“雖然通常不批評其他行業參與者,但報告中多個問題未得到明確解釋,讀後留下的疑問反而比答案更多。”
Safe 前端為何被竄改仍需揭露細節
「Safe 這個品牌目前只對得起智能合約部分。」慢霧餘弦在X 平台發文稱,「Safe 最終還是被攻陷了,確實智能合約部分沒問題(鏈上很容易驗證),但前端被篡改偽造達到欺騙效果。至於為什麼被篡改,等Safe 官方的細節披露。」
「怕打草驚蛇,所以只守著 Bybit 這隻大肥兔」。
Safe 算是一種安全基礎設施,很多人都用了有問題的版本,理論上所有用這個多簽錢包的人都可能會類似Bybit 這樣被盜,但因不是Bybit 所以沒觸發。因此,所有其它帶前端、API 等用戶互動服務的都可能會有這種風險,這也是一種經典的供應鏈攻擊,或許巨額/大額資產的安全管理模型需要有一次大升級。
此外,社區成員指出,距離資方解鎖只剩兩個月,當前的負面影響使得 Safe 面臨的時間壓力愈加嚴重,未來是否能度過這個難關仍存不確定性。
小結
在這次事件中,Safe 的漏洞揭露了Web3 安全領域中的幾個關鍵問題,為整個產業敲響了警鐘。
首先,智慧合約的複雜性管理至關重要,尤其是在像多簽錢包這種功能複雜的應用中。雖然多簽錢包的設計初衷是提高安全性,但複雜功能如 delegatecall 若管理不當,容易帶來潛在的安全漏洞。因此,智能合約必須經過嚴格的審計和充分的測試,以確保沒有漏洞被遺漏。
其次,前端驗證的重要性不容忽視。駭客透過篡改前端介面實施攻擊,造成用戶資產的損失,這暴露了前端防篡改的薄弱環節。為了防範此類攻擊,必須加強使用者介面的驗證機制,確保每個環節都能有效識別惡意偽裝,避免使用者在簽署交易時被誤導。
最後,完善的權限控制和即時風險掃描是防止類似事件再次發生的關鍵。缺乏細化的權限管理和即時監控系統,使得攻擊者可以輕鬆突破防線並執行惡意操作。因此,在設計和實施智慧合約時,必須引入多重確認機制,對高風險操作進行額外保護,並加強即時風險監控,以便及時識別並處理潛在威脅。
