Bybit 的 ETH 多签冷钱包在 2025 年 2 月 21 日被黑客攻击,损失约 14.6 亿美元数字资产。黑客利用 “伪造” 技术,操纵交易界面,让签名者误以为批准的是正常资金转移,实际交易改变了钱包智能合约逻辑。

作者:链源科技 PandaLY

Bybit 作为全球最大的加密货币交易所之一,服务全球超过 6000 万用户,是交易量第二大的加密货币交易所,平台资产规模在事件发生前约为 162 亿美元。2025 年 2 月 21 日,该交易所确认遭到朝鲜黑客组织 Lazarus Group 攻击,这一事件是目前加密货币行业历史上最大的资产被盗案,超过之前的 Ronin Network 和 Poly Network 事件。

一、事件背景

2025 年 2 月 21 日,区块链分析师 ZachXBT 首先发现 Bybit 钱包有可疑流出,总额超过 14.6 亿美元。随后,Bybit 首席执行官 Ben Zhou 在 X 上确认了这一安全漏洞,说明攻击发生在从多重签名冷钱包转至热钱包的过程中。据统计,损失估值为 14.6  亿美元,主要涉及 ETH、stETH 和 mETH 等代币。

二、被盗过程的步骤

此次攻击发生在 ETH 多签冷钱包向热钱包的转移的过程中。交易被描述为 “伪造”(musked),签名者看到的 UI 显示正确的地址和 URL(如 Safe.eth),但实际上签名信息旨在改变钱包的智能关联逻辑。

1)黑客准备阶段:

黑客识别出 Bybit 使用安全多标签钱包管理其 ETH 冷钱包,这是一种常见的区块链多标签解决方案。

黑客利用 UI 欺骗或交易数据收集的技术,准备了一个表面正常的交易,据称是从冷钱包转移资金到热钱包,但实际上包含改变钱包权限的恶意代码。

2)交易批准阶段:

交易被提交给多个签名者批准。在安全钱包中,签名者通常通过界面审查交易详情。

由于 UI 被 “伪造”,签名者看到的是正确的交易地址和 URL(如来自 Safe.eth),但未察觉交易数据中包含的额外智能合约调用(如更改权限)。

签名者以为这是常规操作,批准了交易。

3)权限变更与资金转移:

交易执行后,钱包的智能合约逻辑被改变,黑客获得了对冷钱包的控制权。

目前,朝鲜黑客已通过 Uniswap、DODO 和 ParaSwap 将被盗兑换为 ETH,并把资金从以太坊跨链转移至 Solana 网络。

三、黑客攻击手法分析

此次攻击是朝鲜黑客组织 Lazarus Group 所为,该组织以先进的技术和资源著称,从 2017 年开始到 2025 年为止、这个黑客团队在链上十分活跃,总共发生了将近 50 多起黑客事件,给整个加密货币造成的损失超过了 37.2 亿美金的损失和超过 8500 枚 BTC 的丢失、甚至还导致了 Youbit 交易所的破产。Bybit 被攻击很大概率使用了恶意软件或社会工程手段渗透了签名的过程,从而篡改了交易权限。

  • 多签钱包与攻击矛盾

Bybit 的冷钱包采用的是多签机制(如 Safe 多签钱包),其设计目的是通过要求多个密钥签署才能完成交易,降低单点故障的风险。然而,黑客通过社交工程与前端欺骗,在签署过程中展示了一个伪装的用户界面,使签名者误认为正在向正确地址转账,但实际上黑客在后台更改了智能合约逻辑,从而实现了对冷钱包的完全控制

  • 攻击细节

根据 Bybit CEO 的声明,攻击发生在转账过程中,具体交易被 “掩盖”(masked),即签名者看到的用户界面(UI)显示正确的地址和 URL,但实际交易数据被改变,允许黑客控制冷钱包并转移所有 ETH 至未知地址。进一步分析显示,黑客可能利用 delegatecall 技术运行恶意转移函数,改变多重签名合约的实现地址。

delegatecall 是一种 Solidity 函数,允许一个合约在自己的上下文中调用另一个合约的代码,改变状态变量会影响调用合约的存储。这在代理合约或可升级智能合约中常用,但若使用不当,可能被利用改变合约逻辑。在 Bybit 案例中,黑客可能利用 delegatecall 修改合约实现地址,导致资金被盗。

可能的攻击向量包括:

-中间人攻击(Man-in-the-Middle),干扰签名者与钱包的通信,改变交易细节

-钱包软件或签名界面的漏洞,允许攻击者改变交易数据。

-社会工程技术,欺骗签名者批准看似正常的交易。

四、Bybit 被盗后官方反应

Bybit 迅速采取行动,包括:

- 确认并通过 X 和官方声明与公众沟通。

- 保证其他冷钱包安全,提款正常进行。

- 承诺进行内部调查,了解攻击性质并识别系统漏洞。

- 计划加强安全措施,如增强监控系统、严格访问控制,并可能检讨多重签名钱包设置。

自朝鲜黑客攻击以来,Bybit 总共收到超 35 万笔提款请求,  截止目前,所有提款需求已处理完毕,且提款系统已恢复正常速度。此外,加密货币社区也纷纷发文表示愿意提供协助,Binance 前 CEO 赵长鹏建议暂停提款以防范进一步风险。

五、Bybit 被盗后影响评估

财务影响:此次黑客攻击导致 Bybit 损失约 14 亿美元,但 CEO Ben Zhou 保证交易所仍具偿付能力,所有客户资产 1:1 备份,可覆盖损失。此事件可能影响 Bybit 的声誉,导致部分用户和投资者失去信任。

市场反应:攻击消息公布后,以太币价格下跌超过 3%,市场波动加剧, 另外加密货币交易所出现资金流向分化。币安 24 小时净流入资金达 7.493 亿美元,为流入最多的交易所。其次是 OKX 和 Gate.io,与此同时,Bybit 24 小时净流出达 23.99 亿美元。

行业影响:此次事件可能引发监管机构对交易所安全标准的进一步审查,并提高用户对中心化交易所风险的意识。同时,Lazarus Group 的参与凸显了国家支持的黑客组织对加密货币行业的持续威胁。

六、教训与建议

此次事件为区块链安全项目方提供了多个教训:

1. 安全的签名过程:多重签名钱包需有防篡改的签名过程,使用验证的通信渠道,确保签名者能独立验证交易细节。

2. UI 和 URL 验证:交易所和钱包提供者需防止 UI 和 URL 掩盖攻击,可使用安全认证渠道,提供多种验证交易细节的方式。

3. 定期安全审计:定期对所有系统,包括钱包软件和签名界面,进行彻底审计,及时修补漏洞。

4. 员工培训与意识:参与敏感操作的员工应接受培训,识别并报告签名过程中的可疑活动。

5. 资产多元化:交易所应考虑将资产分散存储于多个安全位置,使用不同类型的钱包,降低单点故障风险。

6. 合作与信息共享:加密货币行业应促进合作与信息共享,共同应对安全威胁,提升防御能力。

七、结语

Bybit 黑客事件是区块链空间威胁演变的显著例证,揭示了即使使用先进安全功能如多重签名钱包,交易所仍可能面临复杂攻击。通过理解技术细节和教训,行业可朝着开发更强大的安全措施迈进,保护未来免受类似攻击。

世界上没有绝对的安全系统,所有系统都可能被攻破,Web3 世界就是一个黑暗森林,我们即是猎人也是猎物,每一步都务必要谨慎,建议尽可能使用去中心化钱包,自己掌握私钥,保护好自己的私钥,只有这样才能活的更久,走的更远。

链源科技 | 安全、溯源、创新,与您共创区块链未来!

我们不仅是您的技术伙伴,更是您在区块链世界中的坚实后盾。无论您面临资产安全问题还是需要运营支持,链源科技都将以卓越服务和创新技术,与您携手探索区块链的无限可能。有任何需求,请联系我们!链源科技,与您一起解锁链上新视界!

感谢各位的阅读,我们会持续专注和分享区块链安全内容。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。