從 Bybit 黑客攻擊事件看交易所安全:安全與合規如何引領平臺健康發展?

avatar
鏈捕手
02-26

北京時間 2 月 21 日晚間,鏈上偵探 ZachXBT 監測到 Bybit 發生 14.6 億美元的 ETH 資金異常流出,其中 mETH 和 stETH 正在 DEX 上被兌換為 ETH。按照金額計算,這可能成為加密貨幣歷史上最大的一起黑客攻擊事件。

Bybit 迅速做出反應,第一時間在官方推特回應,表示“此次事件涉及 ETH 多重簽名冷錢包,攻擊者利用智能合約邏輯漏洞操縱簽名界面,使交易在表面上顯示為正常轉賬,但底層邏輯已被篡改,最終黑客成功控制了該冷錢包並提取資產。” 隨後,Bybit CEO 進行了兩個小時的推特直播,分享事件最新進展,並解答用戶疑問。

隨後,Bybit 交易平臺在 12 小時內共計流入資金超過 40 億美元,儘管具體調查結果尚未公佈,但多位安全專家推測,本次事件可能源於簽名者計算機或中間接口遭到黑客攻擊。黑客在等待多籤執行人員進行日常簽名時,悄然篡改交易內容,使智能合約升級為帶有後門的惡意合約,從而提取所有資金。

過去幾年,數字資產交易資產被盜事件多次發生,通常集中表現為以下種安全問題: 

熱錢包資產被盜:部分交易所熱錢包存儲比例過高,容易因漏洞攻擊導致大額資產流失。

內部管理漏洞:部分交易所因管理不善,可能存在員工作惡或協助外部攻擊的風險。

安全供應商不足:未與頂級安全服務商合作,導致未能及時發現和應對潛在威脅。

缺乏保險機制:極端事件發生後,由於缺乏保險覆蓋,交易所難以彌補用戶資產損失。‘

本次 Bybit 事件並非熱錢包被盜,其他資產未受影響,且提現服務始終正常運行。這表明問題並不源於內部管理或提現流程,而是黑客利用技術漏洞進行精準攻擊。

交易所作為加密行業的核心基礎設施,資產安全至關重要。黑客攻擊不僅會造成鉅額資金損失,還可能影響平臺信譽,甚至動搖整個行業信任體系。如何構建一個全面、可靠的安全體系以保障用戶資產,成為了每個合規交易所的關鍵任務。

在虛擬資產交易領域,安全體系建設正面臨技術迭代與監管規範的雙重驅動。行業觀察顯示,全球頭部持牌交易平臺普遍採用"冷熱錢包分離+多重簽名"的核心架構,通過多維度防控機制構築安全防線:

資金隔離技術標準化:

- 系統級物理隔離:冷熱錢包採用獨立安全屋設置,專用計算機配備防侵入系統。熱錢包服務器僅處理用戶訂單需求,冷錢包設備則完全物理斷網

- 動態配額管理:不同司法管轄區設定差異化的熱錢包比例,例如香港監管熱錢包5%,迪拜監管熱錢包10%

- 智能風控觸發:資金劃轉需通過訂單需求智能歸集觸發,杜絕人工干預可能

冷熱轉換系統銀行級風控:

- 操作流程實施"三人四眼"機制,涵蓋錢包管理、安全審計、財務監控等多部門協同

- 硬件層面冷熱錢包分置獨立安全屋,熱錢包服務器處理訂單需求,冷錢包設備永久物理斷網

持牌機構創新實踐:

比如,Coinbase在資產管理上有著全球最為嚴格的安全措施管控。該平臺採取了多重簽名技術,確保每一筆資金的轉移都需要多個授權者的批准,從而降低單個賬戶被攻破的風險。此外,Coinbase還通過定期的安全審計和合規檢查,確保平臺的所有流程符合行業最佳實踐,進一步增強用戶的信任。

類似的,HashKey global 則與Slowmist合作,實現多重簽名協議與冷存儲系統的深度整合。Slomist自主研發的密鑰分片管理系統,通過分佈式簽名驗證機制,在保持物理隔離的冷錢包環境下,完成了密鑰持有者的動態授權驗證流程。這項技術突破使得冷錢包操作既滿足物理隔絕要求,又能通過密鑰分片實現權限分割。

加強資產保障:保險機制的創新

除了技術保障,保險機制也成為了加密交易所保障用戶資產安全的重要手段。以Kraken為例,該平臺與專業保險公司合作,為存儲在平臺上的資產提供保險保障。Kraken的保險涵蓋了部分數字資產在存儲過程中因黑客攻擊或其他安全漏洞導致的損失,儘管保險無法完全覆蓋所有風險,但它為用戶提供了一定的保障底線。

擁有香港保監局虛擬保險牌照的 OneDegree 是行業內重要的合作伙伴,與 BitGo、HashKey Global等頭部平臺合作,為用戶資產提供全面的保險保障。保險覆蓋極端事件,如地震等自然災害或其他不可預見的風險,確保用戶資產安全。每年,交易所投入大量資金用於用戶資產保險,不僅提升了平臺的安全性,也增強了用戶信任。

嚴格的合規性要求

合規性不僅是法律和監管的要求,更是交易所確保資金安全、提升用戶信任的必要保障。作為持牌交易所,Coinbase在合規性方面投入了大量資源,先後獲得了美國多個州的轉賬交易牌照(Money Transmitter License)以及歐洲的電子貨幣許可證。這些牌照的獲得,不僅證明了平臺的合規性,也為用戶提供了更強的保障。

Kraken在合規方面也採取了類似措施。該平臺已經在多個國家和地區獲得了合法經營牌照,並在運營中嚴格遵守各項監管要求。通過與監管機構的緊密合作,Kraken確保其業務活動符合當地的法律法規,避免了因合規問題導致的安全風險。

合規與加密原生性並重

在合規與加密創新之間找到平衡,是交易所面臨的最大挑戰之一。例如,如果虛擬資產交易所要在歐洲展業必須先拿到MiCA牌照。持牌主體需要嚴格遵守當地司法管轄區的要求,確保平臺的合規運營。這樣,平臺的加密原生性也得到了保障,這使其能夠更迅速地響應市場熱點,打造創新產品,滿足用戶需求。

隨著加密貨幣行業的不斷發展,交易所的資產安全問題將愈發重要。交易所需要需要通過技術創新、嚴格的合規管理和保險機制,構建更加全面的資產安全體系,同時保持平臺的靈活性和市場響應能力,才能為用戶提供了強有力的保障,推動全球數字資產行業的健康發展。

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
相關推薦
Followin logo
loading indicator
Loading..