撰文：Certik

CertiK 首席商務官 Jason Jiang 近日做客 Cointelegraph《The Agenda》播客，就 Bybit 事件深入探討 Web3.0 安全。當 14 億美元資產一夜蒸發，震驚的不只是行業，更是每一位關注數字財富安全的用戶。這不僅是加密史上最大盜竊案，也暴露了在行業高速發展中潛藏的風險。

CertiK 作為區塊鏈安全領域的領導者，從未停止過對這類威脅的剖析。在 Bybit 事件發生後，CertiK 迅速展開技術分析，指出「盲籤」問題的存在。在對話中，Jason 解釋了盲籤產生的原因，建議用戶至少三次核對交易地址。

當 THORChain 驗證節點拒絕回滾交易，Jason 直言「我們如同身處西部荒野」，但也強調，唯有擁抱監管，Web3.0 行業才能邁向成熟。面對價值億萬的黑客攻擊，區區 4000 美元的漏洞賞金顯得微不足道，行業亟需正視安全投入的不足。畢竟，Web3.0 世界的黃金時代，不該是黑客的狂歡節。

Bybit 14 億美元被盜後，CertiK 高管解讀如何提升加密資產安全性

今年 2 月，Bybit 遭遇的黑客攻擊在行業引發震盪。據報道，朝鮮黑客組織 Lazarus 集團從這家中心化交易所竊取了價值 14 億美元的以太坊相關代幣，使其成為有史以來損失最慘重的加密貨幣盜竊案。

此次黑客攻擊的餘波引發眾多疑惑：問題出在哪裡？自己的資金是否安全？應該採取哪些措施來防止此類事件再次發生？

根據區塊鏈安全公司 CertiK 的數據，這起大規模盜竊案約佔 2 月份全部損失的 92%。由於該事件的發生，導致 2 月加密貨幣總損失額較 1 月份激增近 1500%。

在 Cointelegraph 第 57 期《The Agenda》播客中，主持人 Jonathan DeYoung 和 Ray Salmond 與 CertiK 首席商務官 Jason Jiang 展開對話，詳解 Bybit 黑客攻擊的發生過程、此次漏洞利用造成的後果，以及用戶和交易所可採取哪些措施保障加密貨幣安全。

Bybit 被盜事件後，加密錢包還安全嗎？

簡而言之，Jason 認為，Lazarus 集團之所以能夠成功實施針對 Bybit 的大規模黑客攻擊，是因為他們設法控制了全部簽名者的設備——這三位簽名者管理著 Bybit 正在使用的多重簽名 SafeWallet。隨後該組織誘騙他們簽署了其認為是合法的惡意交易。

這是否意味著 SafeWallet 已不可信任？Jason 表示情況並非如此簡單。「當 Safe 開發者的電腦被黑時，可能有更多信息從那臺電腦洩露。但我認為對於個人用戶而言，發生這種情況的可能性相當低。」

他表示普通用戶可以通過幾種方式大幅提升加密貨幣的安全性，包括將資產存儲在冷錢包中，以及警惕社交媒體上潛在的釣魚攻擊。

當被問及 Ledger 或 Trezor 硬件錢包是否可能以類似方式被利用時，Jason 再次表示這對普通用戶來說風險不大，只需要做好盡職調查並謹慎交易。

「這次事件發生的原因之一在於簽名者在未看到完整地址的情況下盲目簽署了交易指令，」他補充道，「一定要確保你發送的地址是你真正想要發送的地址，特別是涉及大額交易時，更應反覆確認，再三核對」。

「我認為此次事件過後，整個行業會嘗試進行自我糾正與改進，推動簽名過程的透明化和易識別。當然，還有許多其他值得吸取的經驗，但這無疑是其中之一。」

如何預防下一個數十億美元規模的交易所黑客攻擊？

Jason 指出，缺乏全面的監管和安全保障措施，可能是導致此次黑客事件持續發酵的因素之一。此前，跨鏈橋協議 THORChain 的一些驗證節點拒絕回滾或阻止 Lazarus 集團利用該協議將盜取的資金轉換為比特幣，這進一步引發了業界對去中心化邊界的討論。

「歡迎來到西部荒野，」 Jason 說道，「這就是我們當前所處的現實。」

「在我們看來，如果加密貨幣想要蓬勃發展，就需要擁抱監管，」他認為，「為了更易於大眾接受，需要主動靠近監管，並找到提升行業安全性的方法。」

Jason 對 Bybit 首席執行官 Ben Zhou 在事件發生後的應對措施表示讚賞，但他也指出，Bybit 在黑客事件發生前推出的漏洞賞金計劃獎金只有 4000 美元。他表示，儘管大部分網絡安全從業者並非單純受金錢驅動，但提高漏洞賞金的金額仍然有助於交易所保持更高的安全性。

當被問到交易所和協議如何激勵並留住頂尖人才以保障其系統安全時，Jason 指出，安全工程師不是總能獲得應有的認可。

「很多人認為一級人才都流向了開發崗位，因為這個崗位能讓他們獲得最多回報，」他說道，「但這也關乎我們是否給予安全工程師足夠的重視。他們承擔著重大責任。」

「適當減輕他們的壓力，並給予更多的認可與激勵。無論是金錢獎勵還是榮譽表彰，在我們力所能及的範圍內給予合理回報。」