作者:Spirit
事件概述
2025年2月21日,加密貨幣交易所 Bybit 披露其以太坊多籤冷錢包遭遇未授權活動,導致近 15 億美元的 ETH 及 stETH 資產被盜。初步分析指向黑客利用精心策劃的攻擊,通過偽裝交易界面和替換智能合約等複雜技術手段,成功控制了 Bybit 的 ETH 冷錢包並轉移資金。事件發生後,Bybit 迅速發佈聲明,啟動調查,並尋求外部資金支持以應對用戶提幣潮。此次事件是加密貨幣歷史上最大規模的單次被盜事件,引發了市場震盪和對中心化交易所安全性的關注。
事件時間線 (HKT, UTC+8)
以下時間線基於公開信息整理,以香港時間 (HKT, UTC+8) 為基準:
2025年2月19日 15:15 HKT (UTC 07:15): 惡意合約被部署 (合約地址:`0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`)。慢霧團隊分析顯示,該惡意合約是此次攻擊事件的預先部署環節。
2025年2月21日 14:13 HKT (UTC 06:13): 黑客利用三個 Owner 簽名,發起交易 (交易哈希:`0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882`),將 Bybit 多籤冷錢包的 Safe 實現合約替換為上述惡意合約。這被認為是攻擊的關鍵步驟,為後續資金盜竊鋪平道路。
2025年2月21日 23:30 HKT 左右: Bybit 以太坊冷錢包發生異常資金轉移,約 15 億美元的 ETH 和 stETH 被盜。X (原 Twitter) 用戶 @OrdzWorld 率先監測到 Bybit 冷錢包向溫錢包異常轉賬的活動。
2025年2月21日 23:48 HKT: Bybit CEO Ben Zhou 在社交媒體發文,承認發生未經授權的 ETH 冷錢包轉賬事件,初步判斷為“屏蔽 UI 欺騙攻擊”,並強調其他冷錢包安全,提款正常。
2025年2月21日 23:51 HKT: Bybit 官方賬號 @Bybit\_Official 在 X 平臺發佈官方聲明,確認檢測到 ETH 多籤冷錢包的未授權活動,並表示攻擊者通過偽裝簽名界面的複雜攻擊操控了交易。Bybit 聲明已啟動調查,並強調用戶資金安全。
2025年2月22日 00:11 HKT: Bybit CEO Ben Zhou 再次發文,強調 Bybit 具備償付能力,用戶資產 1:1 擔保。
2025年2月22日 01:00 HKT: 慢霧團隊 @SlowMist\_Team 在 X 平臺披露更多技術細節,指出惡意合約早在 2 月 19 日已部署,攻擊者利用後門函數 `sweepETH` 和 `sweepERC20` 以及 `DELEGATECALL` 邏輯實施盜竊。
2025年2月22日 01:07 HKT: X 用戶 @web3golder 報道 Bybit 面臨用戶提款潮,部分被盜資產已在去中心化交易所 (DEX) 兌換為 ETH,加劇市場擔憂。
2025年2月22日 01:24 HKT: BitMart 創始人 Sheldon 在 X 平臺發文表示,BitMart 已凍結相關地址,並將協助 Bybit 追回資產。
2025年2月22日 01:39 HKT: 安全團隊 Beosin 分析指出,黑客初始攻擊地址的手續費資金來自幣安交易所。
2025年2月22日 05:23 HKT: 鏈上偵探 ZachXBT (@ZachXBT) 在 X 平臺發文,提交證據報告,初步確認此次攻擊由朝鮮黑客組織 Lazarus Group 策劃。Arkham Intelligence 轉發了該信息。
2025年2月22日 07:27 HKT: Bybit 官方 X 平臺發文稱,已向有關部門報案,並正與鏈上分析提供商合作,以識別和隔離涉案地址,阻止黑客拋售 ETH。
2025年2月22日 09:09 HKT: 鏈上數據分析師餘燼 (@EmberCN) 監測到,Bitget 向 Bybit 支援了 4 萬枚 ETH 借款,以緩解提現壓力。
2025年2月22日 09:14 HKT: Bitget CEO Gracy Chen 在 X 平臺發文聲援 Bybit,表示相信 Bybit 客戶資金安全,無需恐慌。
2025年2月22日 09:21 HKT: Web3 審計機構 Hacken 發佈儲備證明更新,稱 Bybit 儲備金仍超過負債,用戶資金得到全額支持。Bybit CEO Ben Zhou 回覆稱,Hacken 的審計證明 Bybit 有能力彌補客戶損失。
2025年2月22日 09:28 HKT: KuCoin CEO BC Wong 對 Bybit 表示支持,並稱 KuCoin 已協助監控資金流向、凍結可疑資產。
2025年2月22日 09:30 HKT: 幣安創始人趙長鵬 (CZ) 在社交媒體回應稱,幣安官方暫未向 Bybit 拆借資金,相關資金轉移可能為巨鯨個人行為。
2025年2月22日 09:35 HKT: 多籤錢包協議 Safe 官方發佈聲明,表示未發現代碼庫洩露,已暫停 Safe 功能以進行徹底檢查。
2025年2月22日 09:38 HKT: 鏈上監測顯示,MEXC 熱錢包向 Bybit 冷錢包轉移 1.26 萬枚 stETH,進一步提供流動性支持。
2025年2月22日 09:55 HKT: Bybit CEO Ben Zhou 表示,Bybit 正在從冷錢包轉移 29.5 億 USDT 至熱錢包,為計劃中的策略,並非再次被黑客入侵。
各方支持與流動性應對
Bybit 在事件發生後迅速採取行動,尋求多方支持以應對潛在的流動性危機和用戶信任危機:
Bitget 的 ETH 借款: Bitget 向 Bybit 緊急借出 4 萬枚 ETH (約 1.059 億美元),直接轉入 Bybit 冷錢包地址,用於緩解用戶提幣壓力。這筆借款體現了同行業交易所之間的互助精神。
橋接貸款 (Bridge Loan): Bybit CEO Ben Zhou 透露已與合作伙伴達成橋接貸款協議,金額約為被盜 ETH 價值的 80% (約 11.2 億美元)。貸款具體來源尚未公開,但可能包含 Bitget 的借款。橋接貸款作為短期融資工具,旨在快速補充流動性,避免 Bybit 需要立即在市場大量購買 ETH,造成進一步的市場波動。
KuCoin 協助監控與凍結: KuCoin CEO 表示已協助 Bybit 監控被盜資金流向,並凍結可疑資產,嘗試減小損失。
財務審計與償付能力證明: Bybit 合作的 Web3 審計機構 Hacken 發佈儲備證明更新, Bybit 的儲備金仍舊超過負債,用戶資金能夠得到全額支持。Bybit CEO Ben Zhou 亦表示 Bybit 有償付能力,用戶資產 1:1 擔保,即使黑客事件損失無法追回,Bybit 也能彌補用戶損失。
用戶提款處理: Bybit CEO 表示平臺提款功能正常運行,並強調 99.994% 的提款請求已完成,但承認處理大量提款請求可能存在延遲。
事件背景與揭示行業趨勢
Bybit 交易所概況: Bybit 成立於 2018 年,總部位於新加坡,是一家以衍生品交易為主的加密貨幣交易所,擁有超過千萬用戶,在行業內具有一定影響力。
加密貨幣盜竊事件頻發: 近年來,中心化交易所因其資金集中性,成為黑客攻擊的高價值目標。2024 年全球加密貨幣被盜金額達 23 億美元,而 Bybit 本次事件被盜金額超過去年行業被盜金額的 60%,凸顯了行業安全形勢的嚴峻性。此前,Ronin Network 等知名項目也曾遭受大規模盜竊事件,表明黑客攻擊技術不斷演進,中心化平臺面臨持續的安全挑戰。
前期預警與長期策劃: 安全機構慢霧披露,惡意合約早在 2 月 19 日就已部署,表明此次攻擊並非臨時起意,而是經過長時間的精心策劃和周密準備。
事件原因分析
技術漏洞與社會工程學攻擊:
初步分析顯示,攻擊者可能利用了 Bybit 多籤冷錢包的簽名流程漏洞,通過 偽裝交易界面 和 替換 Safe 實現合約 的方式,誘騙多籤 Owner 簽署惡意交易。
攻擊者可能結合了 社會工程學 手段(參考去年10月份攻擊事件),例如入侵簽名者的電腦或中間通訊環節,將正常的交易請求替換為惡意交易,降低了簽名者的警惕性。
DELEGATECALL` 指令在惡意合約中被利用,可能允許惡意代碼在多籤錢包的上下文中執行,從而修改合約邏輯並轉移資金。
中心化交易所的固有風險:
中心化交易所作為用戶資金的集中託管方,天然具備 “單點故障” 風險,容易成為黑客攻擊的目標。Bybit CEO Ben Zhou 早在 2020 年就曾公開承認 CEX 的這種固有脆弱性。
外部環境因素:
2025 年 2 月加密貨幣市場整體回暖,ETH 價格上漲,可能刺激了黑客的盜竊動機。
近期其他加密平臺 (如 ZkLend) 也遭受攻擊,反映出行業整體安全環境可能趨於惡化。
事件影響
對 Bybit 的直接影響:
鉅額資金損失: 15 億美元資產被盜,佔 Bybit ETH 存款的較大比例 (約 75%),給交易所帶來直接經濟損失。
用戶信任危機與提幣潮: 大規模盜竊事件可能引發用戶對 Bybit 平臺安全性的信任危機,導致用戶集中提款,對平臺流動性造成巨大壓力。
ETH 價格短期波動: 事件發生後,ETH 價格出現約 3% 的短期下跌,反映市場對事件的負面情緒。
聲譽受損: 儘管 Bybit 積極應對並強調償付能力,但此次事件無疑對 Bybit 的聲譽造成一定負面影響。
對加密貨幣行業的影響:
加劇 CEX 信任危機: Bybit 事件進一步加劇了用戶對中心化交易所安全性的擔憂,可能促使部分用戶將資金轉移至去中心化交易所 (DEX) 或選擇更安全的資產託管方案。
監管壓力可能增加: 歷史上,大規模交易所安全事件往往引發監管機構的關注和介入。Bybit 事件可能促使各國監管機構加強對 CEX 的安全審計和合規監管要求。
推動行業安全升級: 此次事件或將成為加密安全領域的重要轉折點,促使交易所、安全機構和開發者社區共同推動技術安全和治理機制的全面升級,提升行業整體安全水平。
可能引發關於以太坊分叉的討論: Coinbase 主管 Conor Grogan 以及加密貨幣行業人物 Arthur Hayes 等公開討論了此次事件是否可能引發類似 DAO 事件後的以太坊分叉討論,儘管分叉的呼聲可能較為激進,但也反映了事件的嚴重性和行業內對極端情況的潛在考量。
行業各方反應
Bybit 官方: Bybit CEO Ben Zhou 在事件發生後快速公開事件細節,並通過社交媒體、直播等方式與用戶溝通,強調平臺償付能力和運營正常,試圖以透明度和積極溝通挽回用戶信任。Bybit 官方聲明已向有關部門報案,並與安全機構合作進行調查和資金追蹤。
審計安全機構: 慢霧 (SlowMist) 、Beosin等區塊鏈安全公司在事件發生後迅速介入,分析攻擊技術細節,協助 Bybit 追蹤被盜資金,並向行業發出安全預警。
中心化交易所 (CEX) 同行: Bitget、KuCoin、MEXC和Jucoin 等交易所公開表達對 Bybit 的支持,並提供資金和技術援助。BitMart 承諾凍結可疑地址,幣安創始人趙長鵬也表示如有需要幣安願意提供幫助。行業頭部交易所的集體聲援和互助,顯示出應對行業安全風險的姿態。
社區與分析師: 加密貨幣社區和行業分析師普遍對此事件表示關注和擔憂。部分用戶肯定 Bybit 的透明溝通,但更多用戶表達了對 CEX 安全性的普遍擔憂。分析師指出,此次事件可能促使 CEX 重新審視和改進多籤機制、智能合約安全審計、以及內部安全流程。
小結
Bybit 交易所遭受的 15 億美元盜竊事件,是加密貨幣行業歷史上最大規模的單次資金損失,再次敲響了中心化交易所安全風險的警鐘。黑客精心策劃的攻擊,利用技術漏洞和社會工程學手段,突破了交易所的多重安全防線,造成了巨大的經濟損失和信任危機。
儘管Bybit遭遇了突發安全事件,但其快速反應和相對公開透明的處理方式,有效緩解了市場焦慮。更令人鼓舞的是,來自同行的援助以及安全機構的積極支持,充分展現了加密貨幣社區守望相助的團結精神。這起事件在提醒我們行業風險的同時,也讓我們看到了加密領域日趨成熟和強大的韌性。
未來,加密貨幣行業或將因此事件迎來安全領域的全面升級。中心化交易所需要持續加強技術安全投入,提升多籤錢包、智能合約、內部風控等方面的安全防護水平。監管機構也可能進一步加強對 CEX 的合規監管,促進行業更加健康有序發展。對於用戶而言,此次事件再次提醒用戶,資產安全始終是參與加密貨幣市場的首要考量,合理分散風險,選擇更安全的資產託管方案變得愈發重要。
最新進展 (截至 2025年2月22日 09:55 HKT)
Bybit 與 Web3 審計機構 Hacken 合作發佈儲備證明,力證平臺償付能力。
Bitget、MEXC 等交易所持續向 Bybit 提供 ETH 和 stETH 借款,緩解流動性壓力。
KuCoin 協助 Bybit 監控資金流向和凍結可疑資產。
Safe 官方暫停 Wallet 功能進行全面安全檢查。
幣安創始人趙長鵬澄清幣安官方未向 Bybit 提供借款,相關資金轉移可能為巨鯨個人行為。
鏈上偵探 ZachXBT 確認 Lazarus Group 為此次攻擊事件的策劃者。
Bybit 黑客嘗試解質押 cmETH 被合約退回。
Bybit CEO表示所有提款都已處理完畢,將發佈完整事件報告。
