암호화폐 거래소 바이비트(Bybit)는 이전에 해킹을 당해 약 14억 달러 상당의 이더리움을 훔쳤습니다. 도난당한 이더리움은 다중 서명 지갑 플랫폼인 SafeWallet을 사용하는 Bybit의 창고 지갑에 위치했습니다. 도난 사건 이후 암호화폐 분야의 많은 연구자들은 해커가 어떻게 공격을 수행했는지 파악하지 못했습니다. 결국 해커가 Bybit의 지갑 관리자를 조종하여 서명을 하게 했을 가능성은 거의 없습니다.
그러나 최근 조사 결과 이번 공격은 바이비트(Bybit)와는 아무런 관련이 없는 것으로 드러났다. SafeWallet 지갑에서 보안 문제가 발생했습니다.실제로 북한 해커그룹 라자루스그룹은 이미 침입을 달성했지만, 가치가 높은 대상만 공격할 기회만 기다리고 있다..
연구원들은 이번 공격이 특히 고가치 표적인 Bybit를 표적으로 삼고 있다고 주장합니다. 해커는 Bybit 서명자가 액세스할 수 있는 app.safe.global에 악성 JavaScript 스크립트를 삽입합니다. 효과적인 악성 스크립트는 특정 조건이 충족될 때만 활성화됩니다. 이러한 선택적 실행은 일반 사용자가 백도어를 발견하지 못하도록 보장합니다.
연구원들은 Bybit 서명자 머신의 발견과 인터넷 아카이브 웹사이트 Time Machine(WaybackArchive)을 통한 역추적을 토대로 캐시된 악성 JavaScript 스크립트를 발견했으며, 연구원들은 Safe.Global의 계정이나 Amazon AWS S3 또는 AWS Cloud Front의 API가 유출되거나 도난당했을 수 있다는 강력한 결론에 도달했습니다.
이 경우 해커는 계정이나 API를 이용해 S3나 CloudFront(AWS에서 제공하는 CDN 서비스)를 수정해 악성 스크립트를 추가할 수 있다. 연구원들은 또한 SafeWallet의 AWSS3 버킷에서 Bybit를 표적으로 삼는 이더리움 다중 서명 콜드 지갑 악성 코드를 발견했습니다.
SafeWallet은 LazarusGroup이 Bybit을 대상으로 시작한 공격에 대한 포렌식 조사 결과 해당 공격이 손상된 SafeWallet 개발자 시스템을 통해 구현되었다는 결론을 내렸다는 성명을 발표했습니다.즉, SafeWallet 개발자 시스템이 악성 코드에 감염된 후 해커는 권한이 있는 개발자 계정을 통해 악성 JavaScript 스크립트를 추가했습니다.).
지갑 플랫폼은 이제 공격 벡터가 제거되고 향후 공격에 사용될 수 없도록 API 키 등을 포함한 모든 자격 증명을 순환하면서 모든 인프라를 완전히 재구축하고 재구성했습니다.
또한 연구원들은 SafeWallet의 스마트 계약이나 프런트 엔드 및 서비스의 소스 코드에서 취약점을 발견하지 못했습니다. 해커들이 사전에 SafeWallet 개발자를 대상으로 공격을 시작하는 것이 참으로 완벽한 계획이라고 말할 수 있을 뿐입니다.