Bybit Hack: Details of Sophisticated Multi-Stage Attack Uncovered
Bybit Hack: Details of Sophisticated Multi-Stage Attack Uncovered
The Bybit hack, which occurred on February 21, 2025, has been extensively analyzed by multiple cybersecurity teams, including Sygnia.
gbhackers.com
- 공격 개요
- 2025년 2월 21일, 암호화폐 거래소 Bybit에서 400,000 ETH 이상이 탈취된 대형 보안 사고 발생
- 공격은 Safe{Wallet}의 개발자 워크스테이션(macOS)을 사회공학 기법으로 감염시키는 것으로 시작
- 해당 사건은 DPRK(북한) 연계 위협 그룹 Lazarus Group(TradeTraitor, UNC4899)의 소행으로 FBI와 Mandiant가 공식 확인
- 공격 타임라인
- 2월 4일: Safe{Wallet} 개발자의 macOS 감염, AWS 액세스 토큰 탈취
- 2월 5일~21일: 탈취된 토큰을 사용해 Safe{Wallet}의 AWS 인프라에 접근
- 2월 19일: Safe{Wallet} 웹 인터페이스용 AWS S3 버킷의 JavaScript 리소스에 악성 코드 삽입
- 2월 21일: Bybit이 Safe{Wallet}을 통해 콜드월렛 트랜잭션 실행, 악성 코드에 의해 워밍월렛으로 ETH 전송 조작
- 악성 행위 방식
- 악성 JS 코드 삽입을 통해 웹 인터페이스 트랜잭션을 중간에서 조작
- 스마트 계약의 delegate call 기능을 악용해 원래 구현을 악성 구현으로 교체
- sweepETH 및 sweepERC20 함수를 삽입해 다중 서명(multi-signature) 승인 없이 자금 이체 가능
- 공격 직후 악성 코드 삭제로 행위 은폐 시도
- 주요 보안 취약점
- macOS 개발 환경에 대한 사회공학 기반 침투
- AWS 클라우드 접근권한 미관리로 인한 장기간 내부 침투 가능
- 스마트 계약의 delegate call 구조적 취약점 및 보안 설계 미비
- 자바스크립트 리소스 보안 검증 미흡 및 무결성 체크 부재
- 시사점
- 암호화폐 지갑과 거래소 간 연동에서의 인증/승인 프로세스 검토 필요
- 프론트엔드 코드에 대한 서명 및 무결성 검증 체계 마련 필요
- CI/CD, S3 버킷 접근, 토큰 보안 정책 등 클라우드 인프라 보호조치 강화 필요
- 라자루스 그룹의 고도화된 다단계 공격에 대한 지속적 위협 인텔리전스 분석 필요
- 결론
- Bybit 해킹 사건은 암호화폐 업계의 비표준화된 보안 구조와 스마트 계약의 복잡성이 결합된 사례
- 보안 사고에 대한 투명한 포렌식 분석과 공격 기법 공유는 업계 전체 보안성 향상에 필수
- 고도화된 국가 기반 위협 행위자에 대응하기 위한 다계층 보안 아키텍처와 인프라 전반의 보안 통합이 시급
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| TruffleHog Burp Suite 확장, 실시간 비밀정보 탐지를 위한 통합 도구 출시 (0) | 2025.05.01 |
|---|---|
| BitM 공격 기법 분석, 브라우저 세션 탈취를 통한 고속 인증 우회 위협 (0) | 2025.05.01 |
| MirrorFace APT 그룹, ANEL과 AsyncRAT 사용한 유럽 외교기관 사이버 스파이 작전 수행 (0) | 2025.05.01 |
| 구글, 오픈소스 취약점 스캐너 OSV-Scanner V2.0.0 대규모 업데이트 발표 (0) | 2025.05.01 |
| ZDI-CAN-25373, 윈도우 .lnk 파일 UI 위조 취약점 악용 APT 캠페인 분석 (0) | 2025.05.01 |