安全专家余弦表示，看起来很像是北韩黑客的惯用手法，导致多签钱包被黑。他也提供了先前 Radiant Capital 遭黑的案例，来解释可能的被盗途径。

(Bybit 遭黑天价金额！冷钱包遭攻击，超过 14 亿美元资金外流？)

Bybit 遭黑事件的可能攻击途径曝光

Bybit 近期遭黑，导致 ETH 冷钱包资金被窃。安全专家指出，此次黑客手法可能与 Radiant Capital 在 2024 年 10 月发生的 5000 万美元黑客攻击 类似，皆涉及多重签名（Multisig）钱包的签署界面遭操控，进而让黑客获取未授权资金转移的权限。这类攻击方式极为隐蔽，即使经过层层验证仍难以察觉，对加密货币交易所与 DeFi 协议构成严峻挑战。

攻击模式：操控硬体钱包签名过程

根据 Radiant Capital 事件分析，黑客主要透过以下手法执行攻击：

1. 感染开发者设备：黑客利用恶意软件感染 Radiant Capital 的 三名核心开发者设备，进而影响多重签名交易流程。
2. 篡改前端显示：当开发者使用 Gnosis Safe（现更名为 Safe） 来签署交易时，黑客让界面显示正常的交易内容，但实际上传送的是恶意交易请求。
3. 诱导反复签名：黑客在前端模拟交易失败的错误讯息，诱导开发者多次尝试签署，进一步收集必要的多重签名授权。
4. 最终窃取资金：当黑客获得足够的多签授权后，便可执行转移资产或更改智能合约所有者，最终将资金转移至黑客控制的地址。

这类攻击难以察觉，因为黑客成功欺骗了前端验证工具（如 Tenderly）与硬体钱包的签署机制，使得交易签署看起来毫无异常。

Bybit 可能遭遇相同手法攻击？

Bybit 此次黑客事件与 Radiant Capital 的手法高度相似，尤其是签署界面显示正常，但实际底层逻辑被篡改。Bybit 透露，他们的 ETH 冷钱包在转移资产至热钱包的过程中，交易内容被黑客篡改，并最终导致资金被转移至未知地址。这与 Radiant Capital 攻击中，黑客操控 Safe显示错误信息，让开发者无意间签署恶意交易的方式如出一辙。

此外，根据链上数据显示，Bybit 遭黑后，约 14 亿美元的 ETH 和 stETH 流出，其中部分资产已经开始变现，进一步证实这可能是一场高度计划性且隐蔽的攻击。

黑客如何成功绕过安全验证？

这类攻击的成功关键在于 「社交工程 + 签名欺骗」，黑客透过以下方式绕过现有的安全机制：

• 多重签名环境的错误利用：黑客在 Radiant Capital 事件中，利用 Safe 界面的错误提示，让开发者不断重复签署交易，最终取得足够的恶意签名。Bybit 可能也遭遇类似情况，导致黑客获取关键签署权限。
• 硬体钱包的盲目签名（Blind Signing）：Radiant Capital 事件中，黑客成功让开发者的 Ledger/Trezor 硬体钱包签署恶意交易，而开发者在界面上看到的却是正常交易内容。这表示，即使是 硬体钱包，也无法完全避免此类攻击。
• 智能合约所有权转移：在 Radiant Capital 的案例中，黑客最终获得 LendingPoolAddressesProvider（借贷池地址提供者）的所有权，进一步对协议进行恶意操作。如果 Bybit 遭遇相似攻击，黑客可能已经通过篡改智能合约所有权，让交易所难以追回资金。

如何防范类似攻击？

专家建议，为了避免此类 高度隐蔽的多签攻击，交易所与 DeFi 项目应采取以下预防措施：

1. 강화 다층 서명 인증: 거래 과정에서 서명자 중 누군가에게 오류나 이상이 발생하면 단순히 다시 서명하는 것이 아니라 즉시 긴급 검토 메커니즘을 가동해야 합니다.
2. 독립 장치 인증: Etherscan의 Input Data Decoder와 같은 독립 보안 장치를 사용하여 거래 내용이 변조되지 않았는지 확인합니다.
3. 맹목적 서명 피하기: 모든 주요 거래는 Ledger/Trezor 등 하드웨어 지갑의 판독 가능한 데이터 표시를 통해 확인해야 하며, 맹목적 서명(Blind Signing)은 피해야 합니다.
4. 오류 발생 시 감사 메커니즘 가동: 거래가 여러 번 실패하면 사용자가 반복해서 서명하게 하는 것이 아니라 즉시 전면적인 감사를 실시해야 합니다.
5. 거래 지연 및 시간 잠금(Timelock): 중요한 거래의 경우 72시간 지연을 적용하여 커뮤니티와 개발팀이 충분한 시간 동안 검토할 수 있도록 해야 합니다.

DeFi 보안성, 여전히 큰 도전과제

바이비트(Bybit) 해킹 사건은 다중 서명과 하드웨어 지갑 서명의 취약점 위험을 부각시켰습니다. 이러한 공격 방식은 더 이상 개별 사례가 아니며, 래디언트 캐피탈(Radiant Capital) 사건이 그 대표적인 사례입니다. 다중 서명, 하드웨어 지갑, 거래 시뮬레이션 도구(Tenderly 등)를 사용했음에도 불구하고 해커들은 시스템을 속이고 거액의 자금을 훼손할 수 있었습니다.

이는 모든 DeFi 프로젝트와 거래소가 단순히 기술 도구에 의존하는 것만으로는 충분하지 않으며, 더 엄격한 인적 검토와 인증 메커니즘을 갖추어야 한다는 것을 다시 한 번 상기시켜 줍니다. 앞으로 거래소와 DeFi 프로토콜은 더욱 신중해져야 하며, 다음 공격의 대상이 되지 않도록 해야 합니다.