加密貨幣交易所 Bybit 成為歷來最大型數字資產盜竊案之一的受害者。事件導致一個冷錢包損失約 14 億美元的以太坊代幣。
事件曝光,是著名區塊鏈調查員 ZachXBT 指出 Bybit 錢包有可疑資金流出後發現。未經授權的轉帳總值達 14.6 億美元。
連結交易所鏈上資料顯示,黑客透過去中心化交易平台,把 mETH 與 stETH 代幣兌換成 ETH,手法複雜,顯示是經過精心策劃的攻擊,而非即興入侵。
Bybit 行政總裁於事件被揭發後不久確認有資安事故發生。攻擊者用上了被他形容為「偽裝」的交易方式。
入侵手法的高端之處在於執行時,攻擊者向 Bybit 團隊呈現出幾可亂真的用戶介面,完美仿造真實交易。
黑客更顯示出看似正宗的 Safe 錢包管理平台認證,包括正確的地址資料和網址驗證。騙局大大超越表面的仿冒。Bybit 團隊在授權一系列看似例行的交易時,無意中簽署了帶有惡意代碼的操作。
這段遭篡改的代碼直接改變了目標冷錢包的智能合約邏輯,令黑客可完全存取該錢包的以太坊資產。
面對用戶關注升溫,Bybit 發聲明強調事件屬個別事故,只涉及單一冷錢包。
Bybit 快速安撫用戶,所有其他冷錢包依然安全並未受損,全平台提款功能運作如常。換句話說,今次失竊資金只佔 Bybit 總儲備的一部分。
今次事件突顯針對加密貨幣交易所的網攻手法已越趨高端。即使一向被視為最安全的冷錢包儲存方案,亦難逃精心設計的釣魚詐騙攻擊。
今次是加密貨幣交易所冷錢包系統史上最大型成功黑客入侵之一。事件亦再度引起大眾對主流數字資產平台安全措施的關注。