史上最大加密資產失竊案

作者：木沐

出品：白話區塊鏈（ID：hellobtc）

封面：Photo by Terry Vlisidis on Unsplash

2 月 22 日凌晨，加密社區突然傳來頭部交易平臺 Bybit“熱錢包” 被竊 15 億美金的驚悚傳聞。稍加驗證後發現是真的，隨後該事件的詳情隨著加密社區中的安全審計團隊和 Bybit 官方的披露慢慢浮出了水面。系 Bybit 一個多籤錢包被黑客完全控制後搬空了其中約 15 億美金的加密資產，其中主要是 ETH 和 stETH 等與 ETH 價值接近的流動性質押 Token。

失竊的是冷錢包？

一開始傳言中是熱錢包被盜，因為聯繫到過去大多數黑客攻擊對象都是熱錢包，常態化的聯網讓熱錢包暴露在不安全的環境裡顯得不那麼安全。然而，經過確認，此次對象卻是 Bybit 的一個冷錢包，系進行一次例行轉賬時出現問題導致的安全事件。

這是否意味著某些情況下，冷錢包也不是絕對的安全？

私鑰沒有丟失，多籤合約代碼也沒有漏洞

事實上，根據覆盤，Bybit 發現了真正的問題所在，他們的冷錢包使用的是 Safe 合約多籤錢包，據悉 Safe 原名 Gnosis Safe，後更名為 Safe，迄今已在以太坊生態中保護了超過 1000 億美元的資產。作為主打安全性的多籤錢包和一貫的安全記錄，許多項目方團隊、Dao、交易平臺等都採用了它們的多籤方案。

在此次安全事件中，問題出在 Bybit 訪問的 safe 網站或者移動客戶端的前端上（用戶操作訪問交互的網頁前臺顯示部分）。

簡單的說，黑客篡改了 Bybit 團隊發起多籤的網頁，Bybit 團隊正常操作轉賬，但黑客實則替換了被簽署的交易，讓 Bybit 團隊幾個簽名者簽署了一份 “賣身契”，成功把該多籤合約錢包升級成了黑客準備好的惡意合約，也就是團隊自己籤的名，把這個錢包拱手送給了黑客。

所以，用於簽名的硬件冷錢包私鑰沒有丟失同時 Safe 也未排查出多籤合約的漏洞，它們都還是安全的，這本不屬於加密行業的漏洞，本質上是傳統互聯網鏈路的漏洞。

手法高明、頂級黑客團隊

前文提到黑客篡改了 Bybit 團隊訪問交互錢包的網頁，但 Safe 排查在服務器端並未發現問題，那麼大概率是黑客通過木馬等途徑早已潛伏在 Bybit 團隊成員的電腦等相關設備當中，篡改手法有可能是 DNS、木馬、瀏覽器插件的劫持，在某些條件下複雜程度和難度相對高，相關安全領域的 KOL 認為該黑客手法非常高明。

加密調查員 ZachXBT 和區塊鏈分析公司 Arkham 目前認為，有證據表明這次攻擊可能是由黑客組織 Lazarus Group 發起的，該組織疑似受到了某國政府的支持，以攻擊加密資產平臺而聞名。

社交平臺上有人貼出了該黑客團隊的驚人戰績：從 2017 年到 2025 年之間，先後從多個交易平臺和加密項目中盜取了大量資金，比如從 Youbit 盜取 4000 枚 BTC 直接導致其申請破產、從 Kucoin 平臺盜取 3 億美金加密資產、從 Ronin 跨鏈橋盜取 6.2 億美金加密資產等等，而本次被盜金額高達 15 億美金之多，創造了歷史記錄。

沒有砸盤，加密市場相對穩定

根據以往的經驗，加密市場但凡是某些大平臺出問題都會引發行情海嘯，有時候就算只是涉及頭部平臺的謠言，都會令市場如履薄冰，然而此次 15 億美金可謂是史上最大安全事故，卻只出現小幅回調，目前看加密市場已經算是穩定的了。

之所以加密市場看起來穩定，主要還是很多人預期甚至謠傳的黑客即將大幅砸盤這個事情並沒有發生。黑客目前主要操作是把 stETH 等流動性 Token 這些 ERC20 換成原生 ETH。明顯黑客比一般人專業得多，因為對於他們來說，ETH 在以太坊鏈上是最安全的，換成 USDT 或者 USDC 估計很快就會被凍結。

另外經過分析，該黑客組織處理加密資產非常有耐心，甚至還有很多多年以前盜取的加密資產都還沒有處理完，主要還是因為現在加密交易平臺越來越合規化，監管也趨於嚴格，加上鍊上的透明度，已經越來越難通過常規途徑清洗。因此預期該組織短期內不會拋向市場（金額太大、風險太高，沒有人能接），只能慢慢分批處理。

該平臺一夜就妥善處理，沒有深陷流動性危機

加密市場之所以穩定下來，還有一個原因可能就是 Bybit 經過一夜就進行了妥善的處理，其 X 上的中文官方賬號最新公告稱：“自從黑客事件發生（10 小時前），Bybit 經歷了前所未有的提款請求數量。到目前為止，我們已收到超過 35 萬個提款請求，剩餘約 2100 個提現請求正在處理中。整體上，99.994% 的提現已經完成。”

按理說，此次事件堪比此前 FTX 的流動性危機，一個壞消息可能會讓平臺無法繼續運轉甚至被拖死，但 Bybit 平臺本身實力加上團隊的妥善處理下似乎扭轉了局勢，Bybit 不僅沒有深陷流動性 “泥潭”，還獲得了合作伙伴的 “橋接貸款”，覆蓋了 80% 被盜的 ETH，或者說已經解決了擠兌的問題，我們也看到有部分平臺向 Bybit 錢包轉入大量 stETH 的的報道。

事後加密行業多個平臺創始人均表示會伸出援手，另外黑客的地址也將在這些 Bybit 的競爭對手平臺中被標記屏蔽，全球同行和加密生態都將參與 “圍剿” 相關地址。

回滾以太坊、刪除黑客賬戶的謠言被當真

事件發生後，有人在 X 平臺開玩笑或著是發謠言說:“Vitalik 宣佈，ETH 基金會將於今晚進行投票決定是否進行鏈回滾或刪除黑客持有的 ETH 供應。”

令人驚訝的是，針對這些明顯的玩笑或者謠言，加密社區不少人把它當真了，認真對待並開始討論這個話題。實際上現在的以太坊網絡牽扯甚廣，根本沒辦法回滾，也沒有條件回滾，因為回滾意味著黑客攻擊之後的交易記錄全都被重置了，那樣的話，從昨晚貝萊德這些的 ETH 現貨 ETF 結算到所有 CEX 的提現都被撤回，成千上萬的人遭受損失，記在誰的賬上。

刪除黑客賬戶更是無稽之談了。

這麼大的平臺沒有認真驗證交易

或許是對冷錢包和多籤的安全信心十足，Bybit 團隊居然疏忽大意的簽署了冷錢包的 “賣身契”，這種事情原本是瞄一眼交易內容就可以完全被避免的事情。

這個事件給我們提供了不少教訓：

1）加密資產錢包操作任何時候都一定要多多反覆驗證，包括不限於轉賬地址、簽署信息等;

2）不要默認信任何第三方，包括操作系統、硬件錢包、軟件錢包、多籤錢包，不論它宣稱多安全；

3）任何不可讀的消息比如只有一段十六進制 (hex) 字符串的信息最好不要簽名；

4）真正去搞懂錢包、加密的運行原理，這樣才能結合自身日常操作做出安全的操作，捂好自己的錢包。

小結

不論如何，這件事告一段落，目前觀察狀態尚可，各方心態還算平和。但其影響肯定還沒有結束，加密市場會緊盯著 Bybit 和黑客組織接下來的動態。

常在河邊走，哪有不溼鞋？安全無小事，不是任何被黑客攻擊後的事主都能順利恢復，加密行業和黑客的鬥爭，還將持續。

免責聲明：作為區塊鏈信息平臺，本站所發佈文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。文章內的信息僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。