2月22日凌晨，加密社區突然傳來頭部交易平臺Bybit“熱錢包”被竊15億美金的驚悚傳聞。稍加驗證后發現是真的，隨后該事件的詳情隨著加密社區中的安全審計團隊和Bybit官方的披露慢慢浮出了水面。系Bybit一個多簽錢包被黑客完全控制后搬空了其中約15億美金的加密資產，其中主要是ETH和stETH等與ETH價值接近的流動性質押Token。

Bybit黑客錢包持倉截圖

 

 

 01 
失竊的是冷錢包？

一開始傳言中是熱錢包被盜，因為聯系到過去大多數黑客攻擊對象都是熱錢包，常態化的聯網讓熱錢包暴露在不安全的環境里顯得不那么安全。然而，經過確認，此次對象卻是Bybit的一個冷錢包，系進行一次例行轉賬時出現問題導致的安全事件。

這是否意味著某些情況下，冷錢包也不是絕對的安全？

 

 

 02 
私鑰沒有丟失，多簽合約代碼也沒有漏洞

事實上，根據復盤，Bybit發現了真正的問題所在，他們的冷錢包使用的是Safe合約多簽錢包，據悉Safe原名Gnosis Safe，后更名為Safe，迄今已在以太坊生態中保護了超過1000億美元的資產。作為主打安全性的多簽錢包和一貫的安全記錄，許多項目方團隊、Dao、交易平臺等都采用了它們的多簽方案。

在此次安全事件中，問題出在Bybit訪問的safe網站或者移動客戶端的前端上（用戶操作訪問交互的網頁前臺顯示部分）。

簡單的說，黑客篡改了Bybit團隊發起多簽的網頁，Bybit團隊正常操作轉賬，但黑客實則替換了被簽署的交易，讓Bybit團隊幾個簽名者簽署了一份“賣身契”，成功把該多簽合約錢包升級成了黑客準備好的惡意合約，也就是團隊自己簽的名，把這個錢包拱手送給了黑客。

所以，用于簽名的硬件冷錢包私鑰沒有丟失同時Safe也未排查出多簽合約的漏洞，它們都還是安全的，這本不屬于加密行業的漏洞，本質上是傳統互聯網鏈路的漏洞。

 

 

 03 
手法高明、頂級黑客團隊

前文提到黑客篡改了Bybit團隊訪問交互錢包的網頁，但Safe排查在服務器端并未發現問題，那么大概率是黑客通過木馬等途徑早已潛伏在Bybit團隊成員的電腦等相關設備當中，篡改手法有可能是DNS、木馬、瀏覽器插件的劫持，在某些條件下復雜程度和難度相對高，相關安全領域的KOL認為該黑客手法非常高明。

加密調查員 ZachXBT 和區塊鏈分析公司 Arkham 目前認為，有證據表明這次攻擊可能是由黑客組織 Lazarus Group 發起的，該組織疑似受到了某國政府的支持，以攻擊加密資產平臺而聞名。

社交平臺上有人貼出了該黑客團隊的驚人戰績：從2017年到2025年之間，先后從多個交易平臺和加密項目中盜取了大量資金，比如從Youbit盜取4000枚BTC直接導致其申請破產、從Kucoin平臺盜取3億美金加密資產、從Ronin跨鏈橋盜取6.2億美金加密資產等等，而本次被盜金額高達15億美金之多，創造了歷史記錄。

 

 

 04 
沒有砸盤，加密市場相對穩定

根據以往的經驗，加密市場但凡是某些大平臺出問題都會引發行情海嘯，有時候就算只是涉及頭部平臺的謠言，都會令市場如履薄冰，然而此次15億美金可謂是史上最大安全事故，卻只出現小幅回調，目前看加密市場已經算是穩定的了。

之所以加密市場看起來穩定，主要還是很多人預期甚至謠傳的黑客即將大幅砸盤這個事情并沒有發生。黑客目前主要操作是把stETH等流動性Token這些ERC20換成原生ETH。明顯黑客比一般人專業得多，因為對于他們來說，ETH在以太坊鏈上是最安全的，換成USDT或者USDC估計很快就會被凍結。

另外經過分析，該黑客組織處理加密資產非常有耐心，甚至還有很多多年以前盜取的加密資產都還沒有處理完，主要還是因為現在加密交易平臺越來越合規化，監管也趨于嚴格，加上鏈上的透明度，已經越來越難通過常規途徑清洗。因此預期該組織短期內不會拋向市場（金額太大、風險太高，沒有人能接），只能慢慢分批處理。

 

 05 
該平臺一夜就妥善處理，沒有深陷流動性危機

加密市場之所以穩定下來，還有一個原因可能就是Bybit經過一夜就進行了妥善的處理，其X上的中文官方賬號最新公告稱：“自從黑客事件發生（10小時前），Bybit經歷了前所未有的提款請求數量。到目前為止，我們已收到超過35萬個提款請求，剩余約2100個提現請求正在處理中。整體上，99.994%的提現已經完成。”

按理說，此次事件堪比此前FTX的流動性危機，一個壞消息可能會讓平臺無法繼續運轉甚至被拖死，但Bybit平臺本身實力加上團隊的妥善處理下似乎扭轉了局勢，Bybit不僅沒有深陷流動性“泥潭”，還獲得了合作伙伴的“橋接貸款”，覆蓋了80%被盜的ETH，或者說已經解決了擠兌的問題，我們也看到有部分平臺向Bybit錢包轉入大量stETH的的報道。

事后加密行業多個平臺創始人均表示會伸出援手，另外黑客的地址也將在這些Bybit的競爭對手平臺中被標記屏蔽，全球同行和加密生態都將參與“圍剿”相關地址。

 

 06 
回滾以太坊、刪除黑客賬戶的謠言被當真

事件發生后，有人在X平臺開玩笑或著是發謠言說:“Vitalik 宣布，ETH 基金會將于今晚進行投票決定是否進行鏈回滾或刪除黑客持有的 ETH供應。”

令人驚訝的是，針對這些明顯的玩笑或者謠言，加密社區不少人把它當真了，認真對待并開始討論這個話題。實際上現在的以太坊網絡牽扯甚廣，根本沒辦法回滾，也沒有條件回滾，因為回滾意味著黑客攻擊之后的交易記錄全都被重置了，那樣的話，從昨晚貝萊德這些的ETH現貨ETF結算到所有CEX的提現都被撤回，成千上萬的人遭受損失，記在誰的賬上。

刪除黑客賬戶更是無稽之談了。

 

 

 07 
這么大的平臺沒有認真驗證交易

或許是對冷錢包和多簽的安全信心十足，Bybit團隊居然疏忽大意的簽署了冷錢包的“賣身契”，這種事情原本是瞄一眼交易內容就可以完全被避免的事情。

這個事件給我們提供了不少教訓：

1）加密資產錢包操作任何時候都一定要多多反復驗證，包括不限于轉賬地址、簽署信息等;

2）不要默認信任何第三方，包括操作系統、硬件錢包、軟件錢包、多簽錢包，不論它宣稱多安全；

3）任何不可讀的消息比如只有一段十六進制(hex)字符串的信息最好不要簽名；

4）真正去搞懂錢包、加密的運行原理，這樣才能結合自身日常操作做出安全的操作，捂好自己的錢包。

 

 

 08 
小結

不論如何，這件事告一段落，目前觀察狀態尚可，各方心態還算平和。但其影響肯定還沒有結束，加密市場會緊盯著Bybit和黑客組織接下來的動態。

常在河邊走，哪有不濕鞋？安全無小事，不是任何被黑客攻擊后的事主都能順利恢復，加密行業和黑客的斗爭，還將持續。

本文鏈接：http://www.zhucexiangganggs.com/kp/du/02/5685.html

來源：https://mp.weixin.qq.com/s/kQj4CDxBuLr7Kta_4ieJ2Q