Bybit竊案來源查證

今天看到一篇動區的文章在寫老高的最新影片在講 Bybit 竊案，但是內容沒有講對。

動區的文章中指出，老高影片中提到硬體錢包上地址很難確認這件事情是錯的，「實際上問題是他們一開始簽進去的多簽介面就是假的，Ben Zhou在直播中有強調他們有經過確認，Ledger上面的數據也確認無誤（跟一開始發起的是一樣的），但還是被盜了，所以怎麼檢查也不會查到，即使有確認也沒用（因為數據什麼的都會跟第一個簽名的一樣）。」（括弧內直接引用原文）

我平常不看老高影片的，但因為這篇文章跑去看了。

老高確實有講錯的地方，他說被植入木馬的是 Bybit 的人，所以會看到假的介面。這個在一開始確實有人這麼猜，但已經證實是錯的了，被植入木馬的是 Safe{Wallet} 那邊的人。可能老高寫這篇稿的時候還太早，事情還沒塵埃落定就寫了。

而動區的這篇文章，我上面引用的那個段落，跟我所知道的不太符合 😅 我上次有寫過了，還直接引用了 Ben Zhou 直播的片段中所說的原話，他說他沒有完全檢查硬體錢包上顯示的那些 code。

所以我滿想知道資安專家所講的「Ben Zhou在直播中有強調他們有經過確認，Ledger上面的數據也確認無誤」這段是怎麼來的，來源是哪裡。

或許這就是附上來源的重要性吧，也是我一直持續在做的事情，要附上來源才能證明你所講的是真的，否則可信度就會大幅降低。當然，我並不是說他們寫的一定是錯的，說不定 Ben Zhou 在後續的直播中確實有提到，那錯的就是我了，是我沒有查到這類的資訊，我也很樂意修改文章，提供正確的情報。

話說上次不是提到了被駭的是 Safe{Wallet} 那邊的 S3 bucket 嗎？那到底是怎麼被駭的呢？這兩天 Safe{Wallet} 那邊的調查報告也出來了。

是其中一個開發者的筆電被駭了，駭客直接去拿電腦上的 AWS session token，直接用這個 token 就跟用 cookie 類似，因為已經是登入之後了，所以不用再過一次 MFA，就能直接上傳檔案。

那為什麼開發者的筆電會被駭呢？是因為開發者的筆電上跑了一個專案，而這個專案裡面有惡意程式碼，所以猜測是透過社交工程的方法，試著讓該名開發者去執行。

這個組織以前幹過類似的事情，只要開發者把那個專案跑起來，就中招了（其實也滿合理的，你都跑了其他人給你的程式碼了，要埋木馬應該不難）。

不只大的駭客組織會這麼幹，在幣圈這種事已經屢見不鮮了。例如說假裝 hire 工程師，給一個專案外加高薪讓你幫忙修改一些東西，殊不知只要跑起來，就直接掃你電腦裡面有沒有放密碼或是 private key，直接把你洗劫一空。

但這次的目標不是個人，而是他所任職的公司，因此潛伏在電腦裡面，伺機而動。時機一到，就利用電腦上的 AWS session key 上傳檔案，正式發起攻擊。

有許多公司對外的防護做得不錯，但從內部打進來看起來還是最容易的。

影片：

• https://www.blocktempo.com/mr-gao-talks-about-lazarus-group/
• https://mp.weixin.qq.com/s/rB4XeIBATAb1zHZ9WVyxAg