CZ批评安全钱包关于Bybit Hack的验尸
前Binance首席执行官Changpeng Zhao(CZ)批评了Seaf Wallet对Bybit Hack的验尸更新,称其为“不太好”,并引起了人们对攻击者如何欺骗多个签名者的担忧。
他的评论遵循一份审计报告,指出违规是由安全基础设施而不是交易所系统的妥协造成的。
安全的回应
法医调查发现,受损的安全钱包证书导致了近15亿美元的bybit开发。加密钱包提供商在周三在X上的一份声明中证实了这些发现,并指出,该黑客攻击源于“受损的安全钱包开发人员”。
公司突出显示报告没有在其智能合约或前端源代码中确定漏洞。它还宣布已完全重建并重新配置其基础设施并改变了所有证书,以确保攻击向量被“完全消除”。
但是,CZ批评声明说:
“ Safe的更新并不是那么好。它使用模糊的语言来解决问题。阅读后,我的问题多于答案。”
他质疑“损害安全{Wallet}开发人员机器的意思是什么”,以及攻击是如何发生的,询问社会工程或病毒是否涉及。他还询问了开发人员如何访问BYBIT运营的帐户以及是否将代码直接部署到生产中。
关于攻击者如何绕过账本验证,是否涉及盲目签名或签名者是否无法正确验证,引起了进一步的担忧。
报告和更新
2月26日,拜比特发行Sygnia和Verichains进行了关于袭击的法医审计。审计显示,安全开发人员的凭据已被妥协,使黑客可以访问钱包的基础设施,这导致签名者被欺骗到批准了恶意交易。
根据该报告,该漏洞利用是使用“恶意JavaScript代码”进行的,这些“恶意JavaScript代码”两天前被注入了Seaf的Amazon Web服务系统。仅当交易来自特定的合同地址时,该脚本才激活,包括拜比特的多名合同以及涉嫌属于罪犯的另一个地址。
黑客入侵仅两分钟后,攻击者从安全系统中删除了恶意代码,并消失了。法医专家和该公司还确认,Bybit的基础设施没有受到损害。
自事件以来,Bybit有借从BITGET到40,000 ETH满足撤回要求,此后已偿还。该公司也有恢复它的储备通过贷款,资产购买和鲸鱼存款,获得446,870 ETH,价值12.3亿美元。首席执行官本·周(Ben Zhou)确认的该交易所现在有100%的客户资产支持。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
