Bybit 被盜 15 億美元，這或許是加密史上最大的被盜案，刷新了 2022 年的 Axie 被盜記錄。目前被盜事件在市場上引發了不少恐慌，ETH 價格短時大幅波動，但暫未發生當年 FTX 程度的擠兌事件。

而諷刺的是，不少投資者才剛剛從 FTX 的破產清算中拿回部分賠款。「時隔 2.5 年，終於收到了 FTX 的賠款然後存入了 Bybit，結果第二天 Bybit 的熱錢包就被盜了」，這是今天半夜流傳最廣的地獄笑話梗，段子背後卻又為加密行業籠罩了一層陰雲。

深夜突發被盜

2 月 21 日 23 時，加密 KOL Finish 發文稱，根據鏈上數據，Bybit 的一個多重簽名地址將價值 15 億美元的 ETH 轉移到新地址。

資金到達新地址 0x47666fab8bd0ac7003bce3f5c3585383f09486e2，然後轉移到 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e，0xa4 目前正在出售 stETH 和 mETH 以換取 ETH。

「目前該地址正在使用 4 種不同的 DEX，如果他們只是將 LSD 換成原生 ETH，交易執行效果會很糟糕（磨損較大）。這種規模通常會通過場外交易進行，因此這很不尋常。」

半小時後，Bybit CEO Ben Zhou 稱，ETH 多籤冷錢包遭偽裝攻擊，智能合約邏輯被篡改，導致黑客控制特定錢包並轉移全部 ETH。他表示其他冷錢包安全，提現正常，並尋求協助追蹤被盜資金，並稱「很快就會開始直播，回答所有問題！！請繼續關注。」

相關閱讀：《時間線｜Bybit 超 50 萬枚 ETH 被盜，損失 15 億美元》

史上最大被盜金額？

據 EmberCN 監測，Bybit 的 ETH 多籤冷錢包被盜 51.4 萬枚 ETH，價值 14.29 億美元。黑客已經將其中 49 萬枚 ETH 分散轉移到了 49 個地址中 (每個地址 1 萬枚)。「另外還有 1.5 萬枚 cmETH 正在被黑客解質押中 (有 8 小時等待期，不知道這個能否攔截下來了)。」

根據 CoinMarketCap 的數據，Bybit 在被黑客攻擊之前擁有 $16.2B 的儲備資產，被盜的 $1.4B 資產佔 8.64%。而這或許是加密史上被盜金額最大的一次，佔之前所有加密黑客攻擊的 16%。此前歷史上最大的加密貨幣盜竊案是 2022 年 3 月 29 日發生的 Ronin Network（Axie Infinity）黑客攻擊。黑客竊取了大約 6.20 至 6.25 億美元的加密貨幣，其中包括 173,600 枚 ETH 和 2550 萬美元的 USDC。

黑客 Bybit 被盜消息發酵後，ETH 短短跌至 2600 美元區間。

唯一被黑客攻擊的是 ETH 冷錢包，Bybit 的熱錢包、暖錢包和所有其他冷錢包都沒有受到影響。據社群反饋，所有提現均能正常提出，提現時間在 20 分鐘之內。

也有社區成員向 ChatGPT 和 Grok 詢問了 Bybit 的年度營收和利潤預估。兩者給出的計算結果相近：年度營收約 20 億美元，年度利潤約 6 億美元。

「Bybit 依然具備償付能力，即使此次黑客攻擊導致的損失無法追回，所有客戶資產仍然保持 1:1 支持，我們可以承擔這筆損失。」Bybit 聯合創始人的話也多了幾分可信度。

被盜原因是多籤錢包 safe?

2 月 22 日，慢霧創始人餘弦發文表示 Bybit 黑客攻擊手法與朝鮮黑客相似，「雖然現在沒有明確證據，但從搞 Safe 多籤的手法及目前洗幣手法，像朝鮮黑客。」

與此同時，DefiLlama 的創始人指出，攻擊媒介類似於與朝鮮有關的 WazirX 黑客攻擊。保持警惕。

23 時 44 分，在 Bybit 聯合創始人兼 CEO Ben Zhou 的公告中顯示：「Bybit 的 ETH 多籤冷錢包大約 1 小時前進行了轉賬到我們的熱錢包。看起來這筆交易被偽裝了，所有簽名者都看到偽裝的界面，顯示了正確的地址，並且 URL 來自 Safe。」

但是簽名信息卻是要更改他們 ETH 冷錢包的智能合約邏輯。這導致黑客控制了他們簽名的特定 ETH 冷錢包，並將錢包中的所有 ETH 轉移到這個未確認的地址。

在慢霧進一步的調查中發現，該漏洞的更多細節為：

1）一個惡意的實施合約於 UTC 2025-02-19 7:15:23 被部署：

https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516…

2）UTC 2025-02-21 14:13:35，攻擊者利用三位所有者簽署交易，用惡意合約替換 Safe 的實施合約：

https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882…

3）攻擊者隨後利用惡意合約中的後門函數「sweepETH」和「sweepERC20」竊取熱錢包。

該手法與 2024 年 10 月份的 Radiant Capital 被盜案也有一些相似之處：

當時，Radiant Capital 遭遇的安全漏洞，導致了約 5000 萬美元的資金被盜。攻擊者利用惡意軟件感染了至少三名核心開發者的設備，這些開發者均是長期受到信任的 DAO 貢獻者，並使用硬件錢包進行交易。黑客通過篡改 Safe{Wallet}（即 Gnosis Safe）的前端界面，使受害者在簽署交易時誤以為是合法的操作，實際上卻在後臺執行了惡意交易。

攻擊過程是，開發者的設備被植入高度複雜的惡意軟件，導致他們在簽署交易時無意中批准了黑客的惡意操作。Safe{Wallet} 的前端未顯示異常，使得受害者無法察覺交易被篡改。黑客利用交易失敗的常見現象（如 Gas 費波動、同步延遲等），誘導開發者多次重新簽署，從而獲得多個有效的惡意簽名。儘管交易經過 Tenderly 等工具的模擬和審核，但由於惡意軟件操縱了開發者設備，所有檢查結果仍顯示正常，導致攻擊未被及時發現。

相關閱讀：《Radiant Capital 驗屍報告》

一切矛頭似乎指向了 Safe 多籤錢包。

Safe 是以太坊生態中最被重用的多重簽名錢包，也是大戶專用錢包。今年 Safe 發幣時，空投地址前 100 的名單裡，幾乎清一色都是項目方或是機構。包括 OP、Polymarket、Drukula、Worldcoin、Lido 等等。相關閱讀：《Safe 即將交易，代幣經濟學與生態一覽》

起初 Safe 的受眾更多是 DAO 和幣圈項目方。但隨著加密行業進入了下一個階段，傳統金融、傳統機構、家族基金和老錢們陸續入場，也有越來越多的傳統機構開始使用多籤錢包 Safe，比如懂王家族。

Safe 的設計極大提升了資金管理的安全性。通過多籤機制，資金存儲在智能合約地址中，只有在滿足預設簽名數量（如 3/10）後，交易才能被執行。這種機制有效降低了單點失誤的風險，即使一個簽名地址私鑰洩露，攻擊者也難以獲取足夠的簽名完成交易。

目前，Safe 安全團隊表示：「尚未發現官方 Safe 前端遭到入侵的證據。但出於謹慎考慮，Safe{Wallet} 已暫時暫停某些功能。」正在與 Bybit 密切合作，進行持續調查。

一些社區成員發起了對 Safe 的調侃：多重簽名就是一個「掩耳盜鈴」的裝飾。同時也有不少行業從業者發出反思和對行業的擔憂：「如果多重簽名錢包都不安全，那麼還有什麼人會認真對待這個行業呢？」｜

目前事件調查仍在進行中，火星財經將持續關注。