Die Bybit Exchange wurde am 21. Februar 2025 gegen 14:00 Uhr UTC gehackt, was zu Verlusten von fast 1,5 Milliarden [Exchange] führte – dem bisher größten Sicherheitsvorfall in der Krypto-Geschichte. Im Gegensatz zu früheren Sicherheitsverletzungen wurde dieser Diebstahl nicht durch Probleme mit den Berechtigungen von Smart Contracts verursacht, sondern durch ein bösartiges Upgrade der von Bybit verwendeten Safe Multisig Wallet. Der Angreifer täuschte mehrere Safe-Wallet-Betreiber dazu, eine Transaktion zur Wallet-Aktualisierung zu signieren, und übernahm dadurch erfolgreich die Kontrolle über die Safe-Wallet. Nach der Übernahme zog der Angreifer die Gelder ab.
Wir haben festgestellt, dass dieser Angriff eine sorgfältig geplante Operation war, die auf Bybit abzielte, wobei der Angreifer den Angriffskontrakt zwei Tage vor dem endgültigen Angriff on-chain bereitgestellt und getestet hatte. In diesem Blogbeitrag beginnen wir mit einer Einführung in die Safe-Wallet, analysieren den gesamten Angriffsprozess und bieten abschließend einige Sicherheitsempfehlungen.
Was ist eine Safe Multisig Wallet
Eine Safe Multisig Wallet ist eine Art von Smart Contract Wallet, deren Kernfunktion die Verwendung mehrerer Schlüssel zur Autorisierung von Transaktionen ist. Diese Wallet erfordert, dass mehrere Benutzer (typischerweise vordefinierte Schlüsselhalter) eine Transaktion signieren, bevor eine Überweisung oder eine andere Operation ausgeführt werden kann, wodurch die Sicherheit erhöht und ein einzelner Fehlerpunkt oder die Kompromittierung eines einzelnen Schlüssels verhindert wird.
Bei der Erstellung der Wallet werden mehrere Schlüssel eingerichtet (üblicherweise nach dem "n-von-m"-Modell), was bedeutet, dass unter den mehreren Schlüsselhaltern eine bestimmte Anzahl von Signaturen erforderlich ist, damit eine Transaktion ausgeführt werden kann. Eine "3-von-5"-Multisig-Wallet bedeutet beispielsweise, dass von fünf Schlüsselhaltern mindestens drei Signaturen erforderlich sind, damit die Transaktion gültig ist.
Obwohl es Methoden gibt, Transaktionen ohne die offizielle Safe-Website zu erstellen, entscheiden sich die meisten Benutzer aus Benutzerfreundlichkeitsgründen dafür, Transaktionen über die Safe-Website zu erstellen und zu signieren. Typischerweise besuchen Benutzer https://app.safe.global, um Transaktionen zu erstellen. Bei der Verwendung einer Safe-Wallet zur Erstellung und Signierung einer Transaktion simulieren Benutzer zunächst die Transaktion, um deren potenzielles Ergebnis on-chain zu verstehen und zu überprüfen, ob es ihren Erwartungen entspricht. Nur wenn das Ergebnis wie erwartet ausfällt, fährt der Betreiber mit dem Signierungsprozess fort.
Unten sehen Sie einen Screenshot der Transaktionserstellungsoberfläche in der Safe-Wallet. Da die Safe-Website derzeit vorübergehend nicht verfügbar ist, stammt der folgende Screenshot aus dem Internet (Quelle: https://milkroad.com/reviews/safe-wallet/).
Tatsächlich bestehen bei der Verwendung einer Safe-Wallet die folgenden Sicherheitsrisiken:
- Lange Sicherheitskette: Benutzer müssen der offiziellen Safe-Website, der App und den Backend-Diensten vertrauen, ebenso wie ihrem eigenen Computer und Browser und schließlich der zum Signieren verwendeten Wallet (egal ob Browser-Erweiterung oder Hardware-Wallet). Wenn eine dieser Komponenten von einem Angreifer kompromittiert wird, kann der Betreiber falsche Informationen erhalten (z. B. könnten Sie eine Upgrade-Transaktion signieren, während die Benutzeroberfläche eine normale Überweisungstransaktion anzeigt).
- Fehlende Transaktionsanalyse in Hardware-Wallets: Hardware-Wallets haben im Allgemeinen keine Möglichkeit, Safe-Transaktionen zu analysieren. Das bedeutet, dass Benutzer, wenn sie von der Safe-Benutzeroberfläche getäuscht werden, keine Möglichkeit haben, die endgültige Signierung zu überprüfen, was zu einer sogenannten "Blindsignierung" führt.
Angriffsprozess
Vor dem endgültigen Angriff hatte der Angreifer den Angriffskontrakt bereits on-chain bereitgestellt und getestet. An dem gesamten Angriffsprozess waren mehrere verschiedene Adressen beteiligt.
Schritt 1: Erwerb von Geldern
Der Angreifer musste zunächst die anfänglichen Gelder für den Angriff beschaffen. Typischerweise beschaffen Angreifer Gelder über Mixing-Plattformen (z. B. Tornado Cash), um ihre Spuren zu verwischen. In diesem Fall stammten die Gelder des Angreifers jedoch von Binance. Wir glauben, dass dies möglicherweise die Methode des Angreifers war, seine Identität zu verschleiern, da Gelder und Adressen von Mixing-Diensten in der Regel von Sicherheitsfirmen genau überwacht werden, während Gelder von Börsen weniger streng überwacht werden. Darüber hinaus ist es möglich, dass das Börsenkonto, obwohl die Gelder von einer Börse stammten, keine KYC-Prüfung durchlaufen hatte oder dass seine KYC-Informationen gefälscht waren.
Schritt 2: Bereitstellung und Testen des Kontrakts
Bevor der eigentliche Angriff gestartet wurde, führte der Angreifer eine Reihe von Tests durch. Diese Tests umfassten die Bereitstellung einer Safe-Wallet, die Bereitstellung des Angriffskontrakts und die Verwendung der selbst bereitgestellten Safe-Wallet, um eine Upgrade-Operation durchzuführen und Gelder aus der aktualisierten Safe-Wallet abzuheben. Darüber hinaus experimentierte der Angreifer während der Tests nur mit einer begrenzten Palette von Vermögenswerten – Vermögenswerten, die mit denen in der Wallet übereinstimmten, die schließlich bei Bybit abgezogen wurde. Dies deutet darauf hin, dass der Angreifer gezielt die Safe-Wallet von Bybit ins Visier genommen hat.
Der Angreifer erstellte zu Testzwecken eine Safe-Wallet; eine der Test-Safe-Wallet-Adressen war: 0x509b1eDa8e9FFed34287ccE11f6dE70BFf5fEF55
Der Angreifer testete das Upgrade des Safe-Kontrakts. Die relevanten Informationen können über den Phalcon Explorer unter folgendem Link eingesehen werden:
Nach dem Testen des Upgrades fuhr der Angreifer mit dem Testen des Abhebungsprozesses fort. Sie zogen direkt stEth-Vermögenswerte aus dem aktualisierten Safe-Kontrakt unter der Adresse ab:
0x509b1eda8e9ffed34287cce11f6de70bff5fef55
Schritt 3: Täuschen von Benutzern zur Erstellung und Signierung der Upgrade-Transaktion
Nach Abschluss der Tests musste der Angreifer Benutzer dazu bringen, die Safe-Kontrakt-Upgrade-Transaktion zu erstellen und zu signieren. Da die Tests zwei Tage zuvor stattfanden, geschah die Täuschung wahrscheinlich innerhalb von zwei Tagen nach den Tests. Es wurde noch nicht öffentlich bestätigt, ob dies durch einen Angriff auf die Safe-Server oder die Computer der Wallet-Betreiber erreicht wurde.
Schritt 4: Durchführung des Angriffs
Sobald der Angreifer genügend Signaturen erhalten hatte, reichte er die Transaktion on-chain ein und führte das Upgrade des Kontrakts erfolgreich durch. Nach dem Upgrade zog der Angreifer die Gelder ab. Wir stellten fest, dass die bösartige Upgrade-Transaktion identisch mit der vorherigen Testtransaktion war.
Lektionen und Erkenntnisse
Tatsächlich ereigneten sich im letzten Jahr zweimal ähnliche Angriffe – einschließlich der Diebstähle von Radiant und der indischen Börse WazirX (mit Verlusten von über 200 Millionen US-Dollar), die beide auf bösartige Transaktionen zurückzuführen waren, die mit Safe-Wallets signiert wurden. Der Unterschied bei diesem Vorfall ist, dass die diesmal signierte Transaktion eine Kontrakt-Upgrade-Transaktion war. Daher bleibt das Lernen aus diesen Sicherheitsvorfällen und die Verhinderung zukünftiger Angriffe eine Herausforderung, der sich Börsen und Projektteams mit großen Mengen an digitalen Vermögenswerten stellen müssen. Dies kann durch die Verbesserung des täglichen Betriebs, des internen Prozessmanagements, der Sicherheitsprotokolle für sensible Operationen und der Dezentralisierungseinstellungen erreicht werden, um das Risiko von Angriffen zu reduzieren.
Zweitens ist die Frage, wie Wallets besser am Sicherheitsprozess während der Transaktionssignierung teilnehmen können, noch ungelöst. Derzeit mangelt es insbesondere Hardware-Wallets typischerweise an der Fähigkeit, komplexe Transaktionen zu analysieren. Da Hardware-Wallets auch keine direkte Internetverbindung haben, bleibt es eine Herausforderung, wie Transaktionssimulationen durchgeführt werden können (und die Ergebnisse den Benutzern auf leicht verständliche Weise präsentiert werden), um Blindsignierungen zu vermeiden.
Darüber hinaus ist es notwendig, mehrere Sicherheitsmaßnahmen zu implementieren, wie z. B. die Verwendung von Sicherheitsüberwachungsplattformen wie BlockSec Phalcon, um Safe-Wallets zu überwachen und sicherzustellen, dass abnormales Verhalten umgehend erkannt und behoben wird. Tatsächlich ist Phalcon bereits in der Lage, Safe-Wallets zu überwachen, und wir werden unsere Produkte weiter aufrüsten, sodass eine solche Überwachung in Zukunft automatisch konfiguriert werden kann und Benutzern hilft, Risiken bei der Verwaltung großer Vermögenswerte mit Safe zu vermeiden. Obwohl dieser Vorfall durch die Verwendung einer Safe-Wallet verursacht wurde, besteht kein Grund, "Safe" zu fürchten; sie bleibt der De-facto-Standard für Multisig-Wallets, und ihre Kontraktsicherheit wurde im Laufe der Zeit bewiesen.
Schließlich müssen wir betonen, dass die Sicherheitsverteidigung niemals ein Schlachtfeld für punktuelle Durchbrüche ist, noch gibt es eine Silberkugel, die einmal für alle Mal funktioniert. Während die Betriebs- und Geschäftssicherheit gewährleistet ist, können Branchenteilnehmer BlockSec Phalcon als letzte Verteidigungslinie nutzen, um ihre Vermögenswerte zu schützen.
