Bybit 被竊事件迎來懸疑式反轉！ Safe 官方前端成罪魁禍首？

MetaEra ｜2025-02-27 17:23

如此一來，Safe 一點也不safe 了。

文章作者：0x9999in1，MetaEra

香港時間2 月27 日凌晨，經歷史上最大駭客竊盜事件的Bybit 和涉及多簽錢包的Safe 發布了事故調查報告。這原本是一次更詳細的調查報告，但報告中卻直接推翻了先前的初步判斷，矛頭直指Safe 官方前端！

初步判斷：Bybit 三個簽署者前端被入侵

在14.6 億美元的加密貨幣被盜的當天，在Bybit、鏈上偵探以及安全達人的綜合推斷下，認為Bybit 被盜的主要原因是：Bybit 的以太坊冷錢包因惡意合約升級遭到朝鮮黑客組織Lazarus Group 盜取。 Bybit 採用了Safe 多簽錢包結合硬體冷錢包，這個方案設定了3/3 的簽章門檻，這意味著必須有全部三位私鑰持有者同時授權才能執行任何資產轉移操作。所以駭客提前3 天部署了一個帶有後門的惡意合約，當簽署者在進行日常操作時，駭客悄悄將正常的交易請求替換為他們提前部署好的惡意合約。

這其實引發出了一個巨大的疑問：Bybit 三個簽名者的前端居然被集體篡改，但要知道，三個簽名者會涉及不同地點、不同設備、不同網絡，需要在短時間內鎖定這三個簽名者，集體篡改難度也太大了！

根據Bybit CEO Ben Zhou 在X 直播中的回憶：多簽轉帳時其是最後一個簽名的，使用的Ledger 設備，簽名時存在問題但是沒留意，簽名時沒顯示送達地址。目前共有4000 筆提幣交易處在等待處理狀態。

調查結果：惡意程式碼被注入Safe 官方前端

在兩份事故調查報告中，北韓駭客組織Lazarus Group 將惡意程式碼注入Safe 的前端，SafeGlobal 的AWS S3 或CloudFront 帳戶/API 金鑰洩漏或被盜用。隨著，Safe 的伺服器被駭導致網頁被植入惡意程式碼，Bybit 的3 個簽署者都是使用的Safe 官方前端網頁，因而被竄改簽署資訊後被竊。

雖然這樣的結果也會導致Bybit 冷錢包的有被盜取的可能，但有人提出了這樣一個疑點：很多交易所都是用safe 多簽，為什麼當天只有Bybit 被駭了？真相就是駭客定向針對Bybit 的EthereumMultisig 冷錢包，因為出手機會只有一次，要盜，就要盜一筆大的。

Web3 的智能合約、Web2 的網站前端：草台班子唱戲

或許，誰能想得到官方前端網站都不安全了？這並不是說Safe 已經不安全了，這裡面有一些區別，Safe 本身的智能合約沒有問題，有問題的是它的前端。 Safe 前端是由Safe 團隊開發的，部署在AWS（亞馬遜雲端）上，前端網頁畢竟是一個中心化的應用，因此是有中心化的單點風險。這樣看來，在去中化的世界裡，只要有一處是中心化的，就會有這樣的單點風險。

作為專案方和一般用戶，如何避免類似這次部分中心化導致被攻擊的問題？推特KOL 岳小魚給了以下建議。

專案方需要注意三點，1、大額資產還是要用硬體錢包和多簽組合的方案，但是硬體錢包要解決盲簽的問題，每個簽名者要充分理解自己簽字的是什麼；2、要進行多方驗證，最好有一個獨立的第三方驗證者，這樣的話才能保證多簽的環節中不會因為同一題導致風險，例如一個獨立的第三方驗證者，這樣的話才能保證多簽的環節中不會因為同一題導致風險，例如多簽會採用去中心化前端的方案，部署在一些去中心化的儲存中，例如IPFS。

對於一般用戶，他認為盡量不要使用中心化交易平台，做好資金隔離也非常必要。因為交易所的錢包地址基本上都是公開的，資金流也是公開的，那麼只要投入更多資源來進行攻擊，終究會有被攻破的一天。那麼，我們唯一能相信的是技術，而不是「人」或「平台」。