Araştırmacılar, kripto para birimi geçmişindeki teknik olarak en sofistike saldırılardan birini ortaya çıkardılar ve Bybit’in Ethereum sıcak cüzdan altyapısını kötü niyetli bir vekalet sözleşmesi yükseltmesi yoluyla kullandılar.
Blockchain parmak izi yoluyla Kuzey Kore’nin Lazarus grubuna atfedilen ihlal, Gnosis Safe’ın çoklu mimarisini hedefleyen titizlikle tasarlanmış Delegatecall operasyonları yoluyla 401.346.76 ETH (1.12 milyar dolar değerinde) hırsızlığına neden oldu.
Tahminen İşlem Mekaniği
Verichains, saldırı vektörünün, Bybit’in sıcak cüzdan proxy sözleşmesini (0x1db92eebc8ebc075a02bea49a2935bcd2dfcf4) manipüle eden işlem hash 0x46dee’ye odaklandığını bildirdi.
Saldırganlar, istismarını kötü niyetli bir uygulama sözleşmesi (0x96221423681a6d52e184d440a8efceb15c7242) yoluyla başlattı ve iç içe bir Delegatecall yapısı kurdu.
Bu yük, Proxy’nin uygulama adresini saklayan kritik bellek konumu olan SLOT0 depolamasının üzerine yazan görünüşte iyi huylu bir transfer () işlevi gerçekleştirdi. Kötü niyetli sözleşmenin ayrıştırılmış kodu saldırı mantığını ortaya çıkarır:
Stor0’ı değiştirerek saldırganlar, meşru Gnosissafe uygulamasını (0x34CFAC646F301356FAA8B21E9427E3583F5f) değiştirerek geride bırakılan sözleşmeleri (0xbdd077f651ebe7f7b3ce16f5f5f5f5f5f5f5f5f5p5ping the Gown,
Zincir Saldırı Dizisi
İlk sızma
Hacker EOA 0x0FA09C3A328792253F8DEE7116848723B72A6D2E, 3 katmanlı bir arama yığını aracılığıyla proxy yükseltmesini tetikledi:
- Katman 1: Gnosissafe’ye Meşru Exectransaction
- Katman 2: Delegatecall Safe’ın standart uygulamasına
- Katman 3: Kötü niyetli Delegatecall Yeni Sözleşme Mantığı Enjekte
Doğrulama Bypass
Saldırganlar, proxy yükseltmesini maskelerken meşru işlem ayrıntılarını görüntülemek için SAFE {cüzdan} ‘nın AWS-bilişli kullanıcı arayüzünü kullandı.
Signers, SLOT0’ı değiştiren gömülü SSTore işleminin farkında olmadan rutin ETH transferleri olarak görünenleri onayladılar.
Varlık Sunum
HiJack sonrası, saldırganlar yürütüldü:
Test işlemi: 90 USDT 0xbdd0… 9516’ya transfer (02/21 14:14:12 UTC)
Ana Drenaj: 401K ETH, optimize edilmiş gaz fiyatlandırması yoluyla 15 dakikada 39 adrese aktarıldı.
TRM Labs ve Ellipti dahil Blockchain adli firmalar, saldırının imzası Lazarus Group’un operasyonel kalıplarıyla eşleştiğini doğruladı:
- Altyapı örtüşmesi: Ara cüzdanların% 23’ü 2024’ün 800 milyon dolarlık DPRK hack’lerine bağlandı.
- Aklama hızı: 48 saat içinde çapraz zincir köprüleri (Chainflip, Thorchain) ve gizlilik havuzları ile işlenmiştir.
- Kod Yeniden Kullanımı: Bu saldırının kötü niyetli sözleşmesi ile 2024’ün atom cüzdanı istismar kod tabanı arasında% 68 maç.
AzaltmaS
Bybit’in Lazarusbounty programı, Tether, Circle ve Çığ ile koordineli çabalarla 42.89 milyon dolar dondu. Teknik öneriler şunları içerir:
- Proxy sözleşmelerindeki SLOT0 değişiklikleri için gerçek zamanlı uyarılar
- EIP-712 Tüm DelegateCall işlemleri için yazılan veri doğrulaması
- S3 Kova Bütünlüğü Kontrolleri SHA-256 Ön Uç Varlıkları Hashing
6 Mart 2025 itibariyle OTC yerleşimleri ve köprü kredi tesisleri aracılığıyla 1.23 milyar dolar kurtarıldı.
Olay, çoklu cüzdan uygulamalarındaki kritik güvenlik açıklarının altını çizerek, tüm sözleşme yükseltmeleri için EIP-1271 imza doğrulamalarını zorunlu kılmak için SAFE {cüzdan} ‘ı yönetmektedir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free