一个漏洞导致约 14.6 亿美元的损失,而且是发生在单一个体上!
这便是交易平台 Bybit 遭遇到的灾难级事故,资金损失的主要原因是 Bybit 的以太坊冷钱包因恶意合约升级遭到朝鲜黑客组织 Lazarus Group 盗取。这次盗窃超过了之前 2021 年 Poly Network 被盗的 6.11 亿美元,以及 2003 年萨达姆・侯赛因从伊拉克中央银行盗取的约 10 亿美元,成为单一盗窃案件中金额最大的一起。
Bybit 资金被盗后,引发行业里一系列惊慌和反思,MetaEra 将逐一拆解,去还原 Bybit 上演的“生死时速”。
常识的打破:冷钱包被攻击,黑客如何突破这一铜墙铁壁?
了解热钱包和冷钱包的用户都知道,冷钱包的资金提取和转移完全与互联网隔离,资金的提取需要经过严格的多重验证和审批。Bybit 就采用了 Safe 多签钱包结合硬件冷钱包,这种方案设置了 3/3 的签名门槛,意味着必须有全部三位私钥持有者同时授权才能执行任何资产转移操作。
黑客组织 Lazarus Group 窃取冷钱包资金的思路不是直接攻破冷钱包,而是通过某种方式成功入侵了三位签名者的计算机系统。黑客提前 3 天部署了一个带有后门的恶意合约,当签名者在进行日常操作时,黑客悄悄将正常的交易请求替换为他们提前部署好的恶意合约。
总结下来,此次漏洞的根源在于一次成功的钓鱼攻击。黑客通过诱骗钱包签名者签署恶意交易数据,最终导致合约被恶意升级,此次升级使黑客得以控制冷钱包并转移其全部资金。可以看出,即便是再冰冷的安全壁垒,但凡有人的参与,事情便变得不可控,去中心化也会变得相对中心化,这便是黑客的惯用的突破口之一。
社区的投票:让以太坊回滚至被盗前的可行性有多大?
因为涉及被盗资金已是天文数字,执行“回滚”操作让区块链重新加载的呼声越来越高。Bybit 首席执行官 Ben Zhou 在 2 月 22 日的 Spaces 中,被问及是否支持将以太坊区块链回滚到 2 月 21 日 Lazarus Group 黑客攻击之前的状态。其回应道:“我不确定这是否是一个人的决定。基于区块链的精神,也许这应该是一个投票过程,看看社区想要什么,但我不确定。”
以太坊核心开发者 Tim Beiko 则发文解释:以太坊回滚放在今天已经是不可能的了。2025 年的以太坊生态系统里,DeFi 和与其他链的跨链桥意味着任何被盗资金都可以轻松地在应用网络中混合。例如,被盗资金可以在去中心化交易所上交换,所得代币可作为 DeFi 协议中的抵押品,借来的资产再桥接到完全不同的链。完全「回滚」,就会使得最近的链上活动全部无效,情况只会更糟。任何已结算的交易,许多都有以太坊之外的影响(例如交易所销售、RWA 赎回等)都会被撤销,但无法撤销其链下部分。“牵一发而动全身”,使得以太坊回滚后的影响会更大,这并不是一个明智的解决方案。
CZ 的建议:突发事件后暂停取款引发极具分歧的争议
Bybit 被盗事件发生后,币安联创 CZ 在 X 平台回应 Bybit CEO Ben Zhou,他表示:“这不是一件容易处理的情况。可能的建议是暂时停止所有提款,作为标准的安全预防措施。如有需要,将提供任何帮助。”
Nansen 首席执行官 Alex Svanevik 在 X 平台回应币安联创 CZ 建议 Bybit 在安全事件中暂停提款,他表示:“作为一名用户,停止提款的问题在于交易所表现出对自己资金无能为力而产生的极度沮丧感,即使没有黑客攻击,提款被阻止或延迟也会令人非常沮丧,这就是为什么许多人放弃 Coinbase 的原因,因为他们太频繁的延迟用户提款的等待时间。”
Bybit CEO Ben Zhou 在 X 平台回应了一部分人对于 CZ 的质疑:“确实同意 CZ 的观点,如果此次黑客攻击是通过渗透我们的内部系统(例如提现系统的某个部分)或热钱包被攻破,会立即暂停所有提现,直到找到问题的根本原因。但在昨天的事件中,被攻破的是 ETH 冷钱包,这与我们的任何内部系统无关。
在用户提款方面,Bybit 在距离黑客攻击过去 12 小时内,所有提款都已处理完毕,并且提款系统已完全恢复正常速度,用户可以提取任意金额,不会遇到任何延迟。
同行的援助:多方资金/声援帮助 Bybit 渡过难关
事件发生后的 2 小时,Binance 某鲸鱼 和 Bitget 将合计超 5 万枚 ETH 直接存入 Bybit 的冷钱包,其中 Bitget 的存款是其所有 ETH 的 1/4,MEXC 热钱包也向 Bybit 冷钱包直接转款 12,652 枚 stETH ($33.75M)。
值得一提的是,根据 SoSoValue 统计以及链上安全团队 TenArmor 的最新监测数据显示,Bybit 交易平台在过去 12 小时内共计流入资金超过 40 亿美元,具体包括 63,168.08 枚 ETH、31.5 亿美元的 USDT、1.73 亿美元的 USDC 和 5.25 亿美元的 CUSD,资金流入已完全覆盖因黑客攻击所导致的资金损失。
与此同时,针对 Bybit 事件,HashKey 在官推声援 Bybit,强烈谴责黑客的违法行为,并相信 Bybit 的安全事件会得到妥善处理并渡过难关;BitMart 创始人 Sheldon 在 X 平台发文表示已冻结了相关地址,一旦有被盗资产流入 BitMart,将立即冻结相关资产,以支持追回工作;火币 HTX 全球顾问、波场 TRON 创始人 Justin Sun 则表示,“我们一直在密切关注 Bybit 事件,并将尽最大努力协助我们的合作伙伴追踪相关资金,提供我们能力范围内的所有支持。”
冰冷的回复:eXch 拒绝为 Bybit 拦截被盗资金
据余烬监测,Bybit 黑客在事件发生后的 2 天半时间里已经洗走了 8.95 万枚 ETH(2.24 亿美元),这是他盗取 ETH 总数(49.9 万枚)的 18%。要是按照这个频率,黑客再有半个月时间就能把剩下的 41 万枚 ETH 给换成其它资产(BTC/DAI 等)。
2 月 22 日,链上侦探发现被盗的 5000 枚 ETH 通过 eXch 进行清洗,并通过 Chainflip 转换为比特币。针对这一发现,Bybit 要求 eXch 封锁资金并追踪其动向。然而,eXch 公开了这一请求并拒绝合作。eXch 在回复 Bybit 的邮件中提到,由于其用户曾被 Bybit 封禁,因此他们不会提供任何帮助。
随后,Bybit 首席执行官 Ben Zhou 发推表示:“此时此刻,其实与 Bybit 或任何实体无关,而是我们作为一个行业一份子对待黑客的一般态度,真心希望 eXch 能够重新考虑并帮助我们阻止资金流出。我们也得到了 Interpool 和国际监管机构的帮助,帮助阻止这些资金不仅仅是在帮助 Bybit。”
eXch “助纣为虐”的形象跃然纸上,但从eXch的回应来看,“维护去中心化的理想”更像是一个吹弹可破的泡泡。
事件的最后:Bybit 全面恢复,开启赏金计划
在经历一系列的补救、借款、呼吁、自救行为后,Bybit 发布官方公告:Bybit 已在印度当局正式注册,所有 Bybit 服务(包括开立新交易和访问所有产品的能力)已为现有用户全面恢复。
Bybit 首席执行官 Ben Zhou 在 X 平台发文表示,已上线 Lazarus 黑客组织赏金网站,将展示关于 Lazarus Group 洗钱活动的透明数据。据悉,总赏金为追回资金的 10%,若全部资金追回,赏金总额可能高达 1.4 亿美元。具体分配为:5% 给成功冻结资金的实体,5% 给帮助追踪资金的贡献者。更重要的是,Bybit 采取了积极主动的态度,旨在追回被盗资金的同时,也为整个行业树立了一个应对安全威胁的新标杆。
虽然 Bybit 成功化解了最危险的挤兑风险,但接下来黑客需要将盗取的 ETH 变现,或者是兑换为其他的币种,对市场来说都是很大的抛压,行情一路萎靡下探,市场已经进入恐慌状态,没有短暂的利好落地,加密市场熊态初显,投资者谨慎对待后续行情。
