近年来,网络安全事件频频发生,尤其是在加密货币领域。2025年3月7日,Safe{Wallet}公司确认了一起复杂的网络攻击案,其中北韩黑客组织TraderTraitor成功入侵了加密货币交易所Bybit,盗窃了高达15亿美元的数字资产。这一事件不仅暴露了加密货币生态系统的脆弱性,也揭示了国家级黑客攻击的复杂程度。 根据Safe{Wallet}的报告,这次攻击被认为是一次高度复杂的国家资助攻击。攻击者通过窃取一名Safe{Wallet}开发者的笔记本电脑,获得了访问加密货币交易所的关键权限。报告指出,这名开发者在执行职务时拥有较高的权限,这使得黑客能够轻松绕过多重身份验证(MFA)等安全控制。
分析显示,攻击发生在2025年2月4日,当时该开发者下载了一个名为 "MC-Based-Stock-Invest-Simulator-main "的Docker项目,可能是通过社交工程攻击被诱骗下载的。这个项目与一个在Namecheap注册的域名“getstockprice[.]com”进行通讯,域名是在攻击前两天注册的。 此次攻击的手法并不陌生,TraderTraitor黑客组以往曾使用类似方法,欺骗加密货币交易所的开发者协助他们排查Docker项目中的问题,通常通过Telegram与开发者联系。他们的Docker项目配置为放置一个下一阶段的有效载荷,名为PLOTTWIST,进而实现持久远程访问。 虽然Safe{Wallet}尚未确认此次攻击是否依然使用了相同的方式,但调查中指出,攻击者在获取系统后立即移除了恶意软件并清除Bash历史记录,以妨碍调查。 通过入侵开发者的Apple macOS计算机,攻击者开始对Safe{Wallet}的AWS(亚马逊网络服务)环境进行侦察。
他们能够盗用活动的AWS用户会话,利用开发者的日程安排,悄无声息地执行自己的操作。根据报告,攻击者使用ExpressVPN的IP地址登录,并使用包含“distrib#kali.2024”的User-Agent字符串,这表明他们使用了Kali Linux工具,这是一种专为网络安全专业人士设计的操作系统。 在该事件中,攻击者还被观察到利用开源的Mythic框架,向Safe{Wallet}网站注入恶意JavaScript代码,持续了两天时间,时间段为2025年2月19日至21日。 尽管遭遇攻击,Bybit的首席执行官Ben Zhou在近期的更新中表示,超过77%的被盗资金仍可以追踪,20%的资金已经变得“黑暗”,而3%的资金已被冻结。他还感谢了Mantle、Paraswap和ZachXBT等11个合作方的帮助,成功冻结了部分资产。目前,约83%的资金(417,348 ETH)已被转换为比特币,并分散到6,954个钱包中。
这一事件的发生,标志着2025年有可能成为加密货币盗窃的记录年。据区块链安全平台Immunefi的数据,仅在前两个月内,Web3项目的损失已经高达16亿美元,同比去年同期增加了8倍。 安全专家指出,TraderTraitor的攻击强调了网络攻击者日益增长的复杂性,并指出了Web3安全领域的关键漏洞。在加密货币行业中,确保您签署的交易将产生预期结果仍然是最大安全挑战之一,而这不仅是用户的教育问题,更是整个行业亟待解决的问题。 为了防止未来发生类似事件,加密货币企业和机构必须加强内部安全培训,并提高对社交工程攻击的警惕。同时,建议企业定期进行安全审计,以发现系统中的潜在风险。
此外,在整合新技术或工具时,进行全面的安全评估也是至关重要的。 在这个技术不断发展的时代,伴随而来的不仅是机遇,还有挑战。只有通过合作和集体努力,加密货币生态系统才能更好地应对日益复杂的网络安全威胁。
