根據 OneInfinity 的最新報告,Bybit 在 2025 年 2 月 21 日遭遇了一場重大安全事故,導致價值 14.4 億美元 的數字資產被盜。經分析,這次攻擊與臭名昭著的 北韓駭客組織 Lazarus 有關,並涉及先進的 智能合約升級漏洞、DELEGATECALL 攻擊 以及可能的 前端釣魚。本文將詳細分析這起事件的過程、手法及其對 Web3 安全的啟示。
事件概要:駭客如何入侵 Bybit?
1. 核心受害地址
• Bybit 多簽錢包:0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4
• 駭客地址:0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2
• 損失總額:估計 14.4 億美元
• 主要被盜資產:
• ETH:401,347 顆(約 11.2 億美元)
• stETH:90,376 顆(約 2.5 億美元)
• mETH、cmETH 及少量 USDT
2. 主要攻擊技術
這次攻擊的關鍵步驟如下:
(1) 部署惡意合約
駭客在 2 月 19 日 預先部署了一個帶有 後門(backdoor) 的智能合約 (0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516)。該合約包含 sweepETH 和 sweepERC20 等函數,允許未授權的資金轉移。
(2) 透過多簽機制升級智能合約
2 月 21 日 14:13 UTC,駭客發送了一筆錢包升級交易,更換了 Bybit 安全錢包的核心邏輯。這筆交易由 三位 Bybit 簽名者 批准,符合多簽機制要求。
關鍵細節:
• Bybit CEO Ben Zhou 也是簽名者之一,他後續表示:
• 他檢查過 Safe App 的網址,沒有發現異常。
• 簽名時界面顯示的是正常交易資訊,沒有警示。
• 由於使用 Ledger 硬件錢包,交易內容顯示過於密集,不易閱讀詳細內容。
(3) 利用 DELEGATECALL 攻擊
DELEGATECALL 是智能合約的一種函數調用方式,允許合約執行來自另一個合約的函數,同時繼承自己的存儲數據。駭客利用這一特性:
1. 替換 Bybit 錢包的核心代碼為惡意合約。
2. 執行 sweepETH 和 sweepERC20,將所有資產轉移至駭客錢包。
這相當於讓 Bybit 的錢包在不知情的情況下,執行了駭客的代碼,導致資金被全數掏空。
潛在漏洞與可能的內部風險
目前,Bybit 仍在調查駭客如何影響其多簽機制與前端顯示,但可能的漏洞包括:
1. Safe App 本身遭到駭客攻擊,前端顯示錯誤的交易資訊。
2. Bybit 員工的設備被入侵,導致交易簽名過程遭到篡改。
Safe Wallet 官方已表示,他們的調查尚未發現內部代碼庫存在問題,但 Bybit 仍需要進一步調查內部簽名者的安全性。
歷史案例:相似攻擊手法
這並非首例,過去一年內,多家交易所及 DeFi 項目也遭遇類似攻擊:
• DMM Crypto 被盜 3.05 億美元(Ginco 多簽漏洞)
• Radiant Capital 被盜 5,000 萬美元(SAFE 多簽漏洞)
• WazirX 被盜 2.3 億美元(SAFE 多簽漏洞)
這些案例顯示,駭客正針對 前端釣魚 + 智能合約升級漏洞 + 多簽機制 進行系統性攻擊。
防範措施:如何避免類似攻擊?
OneInfinity 提出以下安全建議,以防止此類攻擊再次發生:
1. 獨立驗證交易
• 不要僅依賴前端顯示,應使用 硬件錢包或獨立設備 驗證交易細節。
• 建議引入 「清晰簽名」(Clear Signing),讓用戶可以直觀閱讀簽名內容。
2. 加強設備安全
• 限制未經授權的應用程式安裝,避免內部員工設備感染惡意軟體。
• 使用 最新的防毒與安全補丁,減少系統漏洞。
• 交易所應提升 冷熱錢包切換機制,避免駭客在短時間內轉移巨額資產。
3. 提高團隊安全意識
• 強化 多簽機制的內部稽核流程,確保所有簽名交易均經過多重確認。
• 定期培訓員工,識別釣魚攻擊與社交工程風險。
結論:Web3 安全仍存挑戰,監管與技術需共同推進
Bybit 遭駭事件再次凸顯 Web3 安全生態的挑戰。這次攻擊的複雜程度表明,多簽錢包與智能合約的升級機制仍需強化,並且交易所需投入更多資源加強 內部安全管理與監管。
儘管 Bybit 目前仍在調查,但這次事件無疑將促使交易所與開發者重新審視:
1. 如何確保前端顯示資訊的真實性?
2. 如何改進硬件錢包與多簽機制?
3. 如何建立更強的交易驗證與監管框架?
未來,隨著 監管介入 和 技術升級,我們或許能看到更成熟的 Web3 安全標準。但當前來看,這次事件無疑是一次 對所有加密行業參與者的警鐘。
