一個漏洞導致約14.6 億美元的損失,而且是發生在單一個體上!

這便是交易平台Bybit 遭遇到的災難級事故,資金損失的主要原因是Bybit 的以太坊冷錢包因惡意合約升級遭到北韓駭客組織Lazarus Group 盜取。這次竊盜超過了先前2021 年Poly Network 被竊的6.11 億美元,以及2003 年薩達姆・侯賽因從伊拉克中央銀行盜取的約10 億美元,成為單一竊盜案件中金額最大的一起。

Bybit 資金被竊後,引發業界一系列驚慌和反思,MetaEra 將逐一拆解,去還原Bybit 上演的「生死時速」。

常識的打破:冷錢包被攻擊,駭客如何突破這銅牆鐵壁?

了解熱錢包和冷錢包的用戶都知道,冷錢包的資金提取和轉移完全與網路隔離,資金的提取需要經過嚴格的多重驗證和批准。 Bybit 就採用了Safe 多簽錢包結合硬體冷錢包,這個方案設定了3/3 的簽章門檻,意味著必須有全部三位私鑰持有者同時授權才能執行任何資產轉移操作。

駭客組織Lazarus Group 竊取冷錢包資金的想法不是直接攻破冷錢包,而是透過某種方式成功入侵了三位簽署者的電腦系統。駭客提前3 天部署了一個帶有後門的惡意合約,當簽署者在進行日常操作時,駭客悄悄將正常的交易請求替換為他們提前部署好的惡意合約。

總結下來,這次漏洞的根源在於一次成功的釣魚攻擊。駭客透過誘騙錢包簽署者簽署惡意交易數據,最終導致合約被惡意升級,這項升級使駭客得以控製冷錢包並轉移其全部資金。可以看出,即便是再冰冷的安全壁壘,但凡有人的參與,事情便變得不可控,去中心化也會變得相對中心化,這便是黑客的慣用的突破口之一。

社群的投票:讓以太坊回滾至被竊前的可行性有多大?

因為涉及被盜資金已是天文數字,執行「回溯」操作讓區塊鏈重新加載的呼聲越來越高。 Bybit 執行長Ben Zhou 在2 月22 日的Spaces 中,被問及是否支持將以太坊區塊鏈回滾到2 月21 日Lazarus Group 駭客攻擊之前的狀態。其回應道:“我不確定這是否是一個人的決定。基於區塊鏈的精神,也許這應該是一個投票過程,看看社區想要什麼,但我不確定。”

以太坊核心開發者Tim Beiko 則發文解釋:以太坊回滾放在今天已經是不可能的了。 2025 年的以太坊生態系統裡,DeFi 和與其他鏈的跨鏈橋意味著任何被盜資金都可以輕鬆地在應用網路中混合。例如,被盜資金可以在去中心化交易所上交換,所得代幣可作為DeFi 協議中的抵押品,借來的資產再橋接到完全不同的鏈。完全「回滾」,就會使得最近的鏈上活動全部無效,情況只會更糟。任何已結算的交易,許多都有以太坊以外的影響(例如交易所銷售、RWA 贖回等)都會被撤銷,但無法撤銷其鏈下部分。 “牽一發而動全身”,使得以太坊回滾後的影響會更大,這並不是一個明智的解決方案。

CZ 的建議:突發事件後暫停提款引發極具分歧的爭議

Bybit 被盜事件發生後,幣安聯創CZ 在X 平台回應Bybit CEO Ben Zhou,他表示:“這不是一件容易處理的情況。可能的建議是暫時停止所有提款,作為標準的安全預防措施。如有需要,將提供任何幫助。”

Nansen 執行長Alex Svanevik 在X 平台回應幣安聯創CZ 建議Bybit 在安全事件中暫停提款,他表示:「作為一名用戶,停止提款的問題在於交易所表現出對自己資金無能為力而產生的極度沮喪感,即使沒有黑客攻擊,提款被阻止或延遲也會令人非常沮喪,這就是為什麼許多人提出的極度沮喪感,因為他們太頻繁提款

Bybit CEO Ben Zhou 在X 平台回應了一部分人對於CZ 的質疑:「確實同意CZ 的觀點,如果這次駭客攻擊是透過滲透我們的內部系統(例如提現系統的某個部分)或熱錢包被攻破,會立即暫停所有提現,直到找到問題的根本原因。但在昨天的事件中,被冷破的是ETH 攻破的是ETH 攻下,這與我們的任何錢包無關。

在用戶提款方面,Bybit 在距離駭客攻擊過去12 小時內,所有提款都已處理完畢,提款系統已完全恢復正常速度,用戶可以提取任意金額,不會遇到任何延遲。

同儕的援助:多方資金/聲援幫助Bybit 渡過難關

事件發生後的2 小時,Binance 某鯨魚和Bitget 將合計超5 萬枚ETH 直接存入Bybit 的冷錢包,其中Bitget 的存款是其所有ETH 的1/4,MEXC 熱錢包也直接向Bybit 冷錢包轉款12,652 枚stETH ($33.75)。

值得一提的是,根據SoSoValue 統計數據以及鏈上安全團隊TenArmor 的最新監測數據顯示,Bybit 交易平台在過去12 小時內共流入資金超過40 億美元,具體包括63,168.08 枚ETH、31.5 億美元的USDT、1.73 億美元的資金流入

同時,針對Bybit 事件,HashKey 在官推聲援Bybit,強烈譴責駭客的違法行為,並相信Bybit 的安全事件會得到妥善處理並渡過難關;BitMart 創辦人Sheldon 在X 平台發文表示已凍結了相關地址,一旦有被竊資產流入BitMart,將立即追加事件,並將盡最大努力協助我們的合作夥伴追蹤相關資金,提供我們能力範圍內的所有支持。

冰冷的回覆:eXch 拒絕為Bybit 攔截被盜資金

根據餘燼監測,Bybit 駭客在事件發生後的2 天半時間裡已經洗走了8.95 萬枚ETH(2.24 億美元),這是他盜取ETH 總數(49.9 萬枚)的18%。要是按照這個頻率,駭客再有半個月就能把剩下的41 萬枚ETH 給換成其它資產(BTC/DAI 等)。

2 月22 日,鏈上偵探發現被盜的5000 枚ETH 透過eXch 進行清洗,並透過Chainflip 轉換為比特幣。針對這項發現,Bybit 要求eXch 封鎖資金並追蹤其動向。然而,eXch 公開了這項請求並拒絕合作。 eXch 在回覆Bybit 的郵件中提到,由於其用戶曾被Bybit 封鎖,因此他們不會提供任何協助。

隨後,Bybit 執行長Ben Zhou 發推文表示:「此時此刻,其實與Bybit 或任何實體無關,而是我們作為一個行業一份子對待黑客的一般態度,真心希望eXch 能夠重新考慮並幫助我們阻止資金流出。我們也得到了Interpool 和國際監管機構的幫助,幫助阻止這些資金在幫助Bybit。」不僅僅是在幫助Bybit。」不僅僅是幫助Bybit。

eXch 「助紂為虐」的形象躍然紙上,但從eXch的回應來看,「維護去中心化的理想」更像是一個吹彈可破的泡泡。

事件的最後:Bybit 全面恢復,開啟賞金計劃

在經歷一系列的補救、借款、呼籲、自救行為後,Bybit 發布官方公告:Bybit 已在印度當局正式註冊,所有Bybit 服務(包括開立新交易和訪問所有產品的能力)已為現有用戶全面恢復。

Bybit 執行長Ben Zhou 在X 平台發文表示,已上線Lazarus 駭客組織賞金網站,將展示關於Lazarus Group 洗錢活動的透明數據。據悉,總賞金為追回資金的10%,若全部資金追回,賞金總額可能高達1.4 億美元。具體分配為:5% 給成功凍結資金的實體,5% 給幫助追蹤資金的貢獻者。更重要的是,Bybit 採取了積極主動的態度,旨在追回被盜資金的同時,也為整個行業樹立了一個應對安全威脅的新標竿。

雖然Bybit 成功化解了最危險的擠兌風險,但接下來駭客需要將盜取的ETH 變現,或者是兌換為其他的幣種,對市場來說都是很大的拋壓,行情一路萎靡下探,市場已經進入恐慌狀態,沒有短暫的利好落地,加密市場熊態。