Bybit15亿被盗案终于找到原因了

本文内容来源自网络。发文时间：2025-02-27

Cos(余弦)😶‍🌫️@evilcos

看来真相出来了，Safe 最终还是被攻陷了，确实智能合约部分没问题（链上很容易验证），但前端被篡改伪造达到欺骗效果。至于为什么被篡改，等 Safe 官方的细节披露…

Safe 这种算是一种安全基础设施了，理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗。

细思恐极的是，所有其它带前端、API 等用户交互服务的都可能会有这种风险。这也是一种经典的供应链攻击。

巨额/大额资产的安全管理模型需要有一次大升级。

上午12:22 · 2025年2月27日

OneKey 中文@OneKeyCN

整个以太坊的多签资产差点被一锅端，
Bybit 被盗 15 亿的安全报告太特么意外了！

简单理解：
1） 报告：Safe 负主要责任
黑客入侵了 Safe 的一台开发者机器，拿到他们的 AWS 服务权限。
随后提前两天部署了包含恶意代码的 Safe 前端逻辑，这个恶意逻辑专门针对 Bybit 的多签合约——就等着他们上钩。
此前多方都猜测前端修改是 Bybit 机器的本地修改，没想到竟然是 Safe 那边服务器远程修改。
黑客第一攻击目标选择了最肥的肉，不敢想如果 Safe 前端没有及时停止，还会有多少个亿要被盗。
2）补充：Bybit 如果进行签名解析可以避免！
从 OneKey 的角度看，Bybit 对签名的没有做任何解析，不管是 App 钱包还是硬件钱包，都直接盲签了。

评论附上完整报告。

Safe的报告：https://x.com/safe/status/1894768522720350673

Bybit Hack Report：https://docsend.com/view/s/rmdi832mpt8u93s7

上午12:17 · 2025年2月27日

otter@otterpal24

Safe这件事可怕的点在于，朝鲜黑客早就黑进safe服务器了，全网都能盗，但就是不用，直到等到bybit这个大鱼。根据披露的朝鲜黑客培养方式来看，这些黑客每天的任务就是在全网找漏洞注入，但不使用，而是放进武器库里，随时拿出来用。这就意味着，行业所有的基础设施都存在被朝鲜黑客埋点的可能性。

上午1:15 · 2025年2月27日

岳小鱼@yuexiaoyu111

【再聊Bybit交易所被盗事件：Safe都不安全了吗？项目方们该怎样应对？普通用户们又该做什么？】

1、没想到Bybit交易所被盗14亿美元事件发生了一些反转：

现在发现并不是Bybit交易所多签人员自己的设备被黑客攻击，而是Safe的前端被黑客攻击了。

Safe的服务器被黑，导致网页被植入恶意代码，Bybit工作人员都是用的Safe官方前端网页，从而被篡改签名信息后被盗。@safe谁能想得到官方前端网站都不安全了？

这并不就是说Safe已经不安全了，这里面有一些区别，Safe本身的智能合约没有问题，有问题的是它的前端。

Safe前端是由Safe团队开发的，部署在AWS（亚马逊云）上，也就是说，其实前端网页这是一个中心化的应用，因此是有中心化的单点风险。

这样看来，在我们去中化的世界里，只要有一处是中心化的，就会存在这样的单点风险。

套用“忠诚不绝对，就是绝对不忠诚”这句话，在我们行业，如果去中心化不绝对，就是绝对不去中心化。

一个项目中，但凡有一处中心化服务，就是单点风险，因此要做到全流程、全环节的去中心化。

在这方面，BTC可以说是久经考验，在这么多年的各类风险事件中，基本做到了全流程的去中心化。

2、针对类似这一次部分中心化导致被攻击的问题，其实项目方们还是有几种解决方案：

第一，大额资产还是要用硬件钱包和多签组合的方案，但是硬件钱包要解决盲签的问题，每个签名者要充分理解自己签名的是什么；

第二，要进行多方验证，最好有一个独立的第三方验证者，这样的话才能保证多签的环节中不会因为同一问题导致风险，比如这一次事件中多签用的是同一前端；

第三，长期来看还是要推动各个项目方中的所有环节都保证是去中心化的，就比如说前端要采用去中心化前端的方案，部署在一些去中心化的存储中，比如IPFS。

3、对我们普通用户的启示则是：尽可能不要使用中心化的交易平台。

很多人说：“小白用户就不要自己掌握私钥，不安全，不如把资金放在交易所更安全。”

持续不断的交易所被盗，就是对上面这种言论的有力驳斥。

不要迷信交易所的技术实力，也不要迷信交易所的安全性，其实交易所的潜在风险非常大。

为什么说交易所的潜在风险更大呢？

这种中心化平台最大的风险在于所有的用户资产集中存放，其实就成为了一个集中被攻击的大目标。

世界上没有绝对安全的系统。所有的系统都可能会被攻破，但是攻击都是有成本的，所以就看你目标收益有多大了。

当攻击的收益足够大，那么攻击的手段和成本也会被放大。

交易所就是一个显著的大目标，交易所的钱包地址基本都是公开的，资金流也是公开的，那么只要投入更多资源来进行攻击，终究会有被攻破的一天。

那么，我们唯一能相信的是技术，而不是“人”或“平台”。

4、走向链上

这里还是要呼吁一下，我们普通用户还是要尽可能使用去中心化钱包，自己掌握私钥，或者更进一步，直接用无私钥钱包。

我用的比较多的是全链交易平台 UniversalX，内置了智能合约钱包，其实就是无私钥钱包，完全用户自托管，同时不用担心私钥被盗问题。

这个平台是由知名钱包服务商Particle Network提供的，有很深厚的技术积淀，而且是由币安投资的，安全性和技术实力都有保障。

总之，要选择完全自托管的、去中心化的、有强背书的钱包以及交易平台。

最后，就加入这场CEX到DEX的资产转移大趋势吧！