Analyse de l’incident piraté de Bybit: la méthode de piratage est-elle similaire au mode d’attaque de Radiant Capital?

L’expert en sécurité de l’information, Cosine, a déclaré qu’il ressemblait beaucoup à la méthode habituelle des pirates nord-coréens, ce qui a conduit à la peur de signer plus de portefeuilles. Il a également fourni la capitale radiante précédente choquéeCasPour expliquer les chemins volés possibles.

(Le parbit a été touché par un prix énorme! Le portefeuille froid a été attaqué, et plus de 1,4 milliard de fonds US ont été éteints?)

Les attaques possibles de Bybit contre l’incident piraté ont été exposées

Bybit a été touché récemment, ce qui a entraîné des fonds de portefeuille froids volés. Les experts en sécurité ont souligné que cette méthode de piratage pourrait être similaire à l’attaque de piratage de 50 millions de dollars par Radiant Capital en octobre 2024, tous deux impliquant l’interface de signature du portefeuille multigique en cours de manipulation, permettant aux pirates d’obtenir une autorité non autorisée pour le transfert de fonds. Ce type d’attaque est extrêmement caché et est toujours difficile à détecter même après les couches de vérification, posant un défi sérieux à l’échange de crypto-monnaie et au protocole Defi.

Mode d’attaque: manipuler le processus de signature du portefeuille matériel

Selon l’analyse des incidents Radiant Capital, les pirates effectuent principalement des attaques à travers les méthodes suivantes:

1. Infection de l’appareil du développeur: Les pirates ont utilisé des logiciels malveillants pour infecter le capital radiant Trois équipements de développeurs de baseet affectent ainsi le processus de transaction multi-signature.
2. Faculteur de l’affichage frontal: Lorsqu’un développeur l’utilise Gnosis Safe (maintenant renommé sûr) Lors de la signature d’une transaction, le pirate permet à l’interface afficher le contenu de la transaction normale, mais en fait il est transmis.Demande de transaction malveillante。
3. Induire des signatures répétées: Le pirate simule sur le frontÉchec de la transactionLe message d’erreur incite les développeurs à essayer de signer plusieurs fois et à collecter davantage l’autorisation multi-signature nécessaire.
4. Vol final de fonds: Lorsque le pirate obtient une autorisation multi-signal suffisante, il peut être exécutéTransférer des actifs ou modifier les propriétaires de contrats intelligentset éventuellement transférer les fonds à une adresse contrôlée par des pirates.

Ce type d’attaque est difficile à détecter car le pirate a réussi à tromper l’outil de vérification frontal (par exemple. Tendrement) Le mécanisme de signature avec le portefeuille matériel rend la signature de transaction anormale.

Le recours peut rencontrer la même attaque?

Selon cet incident de piratage, est très similaire à la méthode de Radiant Capital, en particulier l’interface de signature est affichée normalement, mais la logique réelle sous-jacente a été falsifiée. Bybit a révélé que lors du transfert d’actifs à des portefeuilles chauds, leur contenu de transaction a été falsifié de pirates et a finalement conduit au transfert de fonds vers des adresses inconnues. C’est exactement la même chose que la façon dont un pirate manipule en toute sécurité pour afficher les messages d’erreur dans l’attaque de Radiant Capital, ce qui fait que les développeurs signent accidentellement des transactions malveillantes.

En outre, selon les données sur la chaîne, après que le relevés a été touché, environ 1,4 milliard de dollars d’ETH et Steth ont coulé, et certains actifs ont commencé à être encaissés, confirmant en outre que cela pourrait être une attaque hautement planifiée et cachée.

Comment un hacker contourne-t-il avec succès la vérification de la sécurité?

La clé du succès de ces attaques réside dans “Ingénierie sociale + fraude signature”Les pirates contournent les mécanismes de sécurité existants par:

• Utilisation abusive de l’environnement multi-signature: Dans l’événement Radiant Capital, le pirate a utilisé les invites d’erreur de l’interface sûre pour permettre aux développeurs de signer des transactions à plusieurs reprises et enfin d’obtenir des signatures malveillantes suffisantes. Bybit peut également rencontrer des situations similaires, ce qui fait que les pirates obtiennent des autorisations de signature clés.
• Signer aveugle du portefeuille dur: lors de l’incident de radiant en capital, le pirate a demandé avec succès au portefeuille matériel du grand livre / trezor du développeur de signer des transactions malveillantes, mais ce que le développeur a vu sur l’interface était un contenu de transaction normal. Cela signifie que même un portefeuille dur ne peut pas éviter complètement de telles attaques.
• Transfert de propriété des contrats intelligents: Dans le cas de Radiant Capital, le pirate a finalement obtenu la propriété de LendingPoolAddressSprovider (le fournisseur d’adresse de pool de prêt) pour exploiter davantage l’accord avec malveillance. Si Bybit rencontre des attaques similaires, les pirates peuvent avoir falsifié la propriété des contrats intelligents, ce qui rend difficile pour l’échange de récupérer des fonds.

Comment éviter des attaques similaires?

Les experts recommandent cela pour éviter cela Attaque multi-signal très cachéeLes échanges et les projets Defi devraient prendre les précautions suivantes:

1. Renforcer la vérification de la signature multicouche multiple: Si un signataire rencontre une erreur ou une exception pendant le processus de transaction, un mécanisme d’examen d’urgence doit être déclenché immédiatement, plutôt que de simplement signer.
2. Vérification indépendante du dispositif: Utilisez des dispositifs de sécurité indépendants pour confirmer les données de transaction, comme par le biais de Étherscan 的 décodeur de données d’entrée Pour vérifier si le contenu de la transaction a été falsifié.
3. Évitez les signatures aveugles: Toutes les transactions clés doivent être réalisées Affichage de données lisible sur des portefeuilles matériels tels que le grand livre / trezor Pour confirmer et éviter la signature aveugle.
4. Mécanisme d’audit de déclenchement d’erreur: Si une transaction échoue plusieurs fois, un audit complet doit être effectué immédiatement, plutôt que de demander à l’utilisateur de le signer à plusieurs reprises.
5. Délai de transaction et Timelock (Timelock): Pour les transactions majeures, il doit être mis en œuvre 72 heures de retardafin que les équipes communautaires et de développement puissent avoir suffisamment de temps pour examiner.

La sécurité Defi est toujours confrontée à des défis majeurs

L’incident piraté de Bybit a mis en évidenceRisque de signatures multiples et de vulnérabilités de signature de portefeuille matérielleCe type d’attaque n’est plus un cas isolé, l’incident de la capitale radiante est la meilleure leçon. Même avec des signatures multi-signatures, des portefeuilles matériels et des outils de simulation de transaction (tels que tendrement), les pirates peuvent toujours tromper le système et voler d’énormes sommes d’argent.

Cela rappelle également tous les projets et échanges Defi.S’appuyer uniquement sur les outils techniques ne suffit pas, et il doit être combiné avec un mécanisme de révision et de vérification manuelle plus stricte.. À l’avenir, les échanges et les protocoles de défi doivent être plus prudents pour éviter de devenir la prochaine cible d’attaque.