Bybit 遭遇 15 亿美元黑客攻击：多签冷钱包安全性面临新挑战

2 月 21 日，以太坊区块链 监测系统 Check Point Blockchain Threat Intel System 发现 Bybit 冷钱包 遭遇 重大安全攻击，导致 价值 15 亿美元的加密资产被盗，主要为 以太坊（ETH）和 stETH。这一事件成为 加密货币史上最大规模的盗窃案之一，并揭示了 加密安全的新风险。

Bybit CEO Ben Zhou 证实了此次攻击，并表示，黑客 操纵了一次计划内的转账，成功 修改 Bybit 以太坊冷钱包的智能合约逻辑，从而将资金转移至未知地址。

加密货币攻击模式升级：不再仅依赖智能合约漏洞

此次攻击并未直接利用 智能合约漏洞，而是利用了以下新型攻击手段：
✅ 用户界面（UI）操纵——欺骗多签持有人批准恶意交易
✅ 恶意软件或钓鱼攻击——获取签名者的设备访问权限
✅ 供应链攻击——拦截关键交易审批流程

这表明，即便是 冷钱包和多签（multisig）保护，也无法完全防止攻击，如果黑客能欺骗签名者执行错误的操作，资金仍然会被盗。

攻击过程解析

1. 初步入侵

• 攻击始于 钱包地址 0x47666fab8bd0ac7003bce3f5c3585383f09486e2，该地址执行了 ExecTransaction（执行交易）操作，目标为 Gnosis Safe 多签代理合约。
• Gnosis Safe 是广泛使用的 多签钱包，其交易授权依赖 外部签名数据 而非 链上投票，使其容易受到以下攻击：
  • UI 操纵
  • 恶意软件感染
  • 未经授权的签名生成

2. 攻击执行流程

1️⃣ 锁定多签签名者

• 黑客识别出 多签钱包的主要签名者，并通过 恶意软件、钓鱼攻击或供应链攻击 窃取他们的设备访问权限。

2️⃣ 伪造 UI 界面

• 签名者被引导至 伪造的用户界面，该界面看起来与 @safe（Gnosis Safe 官方界面） 完全一致。
• 界面显示假冒的“正常交易”，让签名者误以为他们批准的是合法交易。

3️⃣ 篡改交易授权

• 一旦签名者批准交易，黑客便 获得了 Bybit 冷钱包的控制权。
• 黑客使用 delegatecall 函数，将资金转移至其恶意合约地址 0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516。

4️⃣ 完成资产转移

• 黑客的恶意合约修改了 Bybit 合约中的 _transfer 函数，使其所有资金流向攻击者账户。
• 最终，黑客盗取了 超过 10 亿美元的加密资产，其中包括 400,000 ETH。

为何此攻击极具威胁性？

✅ 多签钱包已不再绝对安全——如果签名者可被欺骗，资金仍可被盗。
✅ 冷钱包也可能被攻破——如果黑客能操控签名者看到的内容，冷钱包便无法提供绝对保护。
✅ 供应链和 UI 操纵攻击变得更复杂——传统智能合约安全措施无法防御这类攻击。

未来加密货币安全如何应对？

此次 Bybit 黑客攻击暴露了 加密货币交易所和投资者的安全漏洞，未来安全策略需进行升级，以应对 社交工程和 UI 操纵攻击。可能的安全改进包括：
🔹 硬件设备验证交易内容——确保用户在批准交易前能看到真实信息。
🔹 改进多签机制——增加 跨设备确认流程，防止单点失误导致资金被盗。
🔹 链上验证机制——减少对 离线签名的依赖，降低 UI 伪造风险。

此次攻击表明，即便采用 最强大的智能合约和多签保护机制，加密安全的最大弱点仍然是“人”。加密行业需要重新审视安全标准，以适应不断变化的攻击手段。