作者| 吳說區塊鏈

北京時間2 月21 日晚間，鏈上偵探ZachXBT 首先披露，監控到Bybit 有14.6 億美元以上的可疑資金流出，mETH 和stETH 目前正在DEX 上兌換為ETH。可以確定，這已經成為加密貨幣歷史上（以當時金額計算）金額最大的一起被盜事件。

Coinbase 主管Conor Grogan 表示，北韓對Bybit 的駭客攻擊是有史以來最大的駭客竊盜案（高於伊拉克中央銀行竊盜案，價值約10 億美元）其金額約為2016 年DAO 駭客攻擊的10 倍（但供應量的百分比要高得多）預計這裡會出現一些要求以太坊分叉的呼聲。 （此處金額以被盜時的價值計算）

Arkham 發推文表示，鏈上分析師ZachXBT 提供了確鑿證據，證明Bybit 的15 億美元駭客攻擊由北韓支持的駭客組織Lazarus Group 實施。他的提交包括對測試交易、關聯錢包、取證圖表和時間分析的詳細分析。相關資訊已分享給Bybit，以協助其調查。

Bybit CEO BEN 推文表示，大約1 小時前，Bybit ETH 多重簽名冷錢包剛剛向我們的熱錢包轉帳。看來這筆交易是偽造的，所有簽名者都看到了偽造的UI，其中顯示了正確的地址，URL 來自SAFE。然而簽名資訊是要更改我們ETH 冷錢包的智慧合約邏輯。這導致駭客控制了我們簽署的特定ETH 冷錢包，並將冷錢包中的所有ETH 轉移到這個未識別的地址。請放心，所有其他冷錢包都是安全的。所有提款都是正常的。我會隨時向你們通報更多進展，如果有任何團隊可以幫助我們追蹤被盜資金，我們將不勝。 Bybit 熱錢包、溫錢包和所有其他冷錢包都很好。唯一被駭客入侵的冷錢包是ETH 冷錢包。所有提款均正常。

Bybit 官方推特表示，Bybit 偵測到涉及我們其中一個ETH 冷錢包的未經授權活動。事件發生時，我們的ETH 多重簽名冷錢包執行了向我們的熱錢包的轉帳。不幸的是，這筆交易是透過一個複雜的攻擊操縱的，該攻擊掩蓋了簽名介面，顯示正確的地址，同時更改了底層智慧合約邏輯。因此，攻擊者能夠控制受影響的ETH 冷錢包並將其資產轉移到一個未識別的位址。我們的安全團隊與領先的區塊鏈取證專家和合作夥伴一起積極調查此事件。任何在區塊鏈分析和資金追回方面具有專業知識並可以協助追蹤這些資產的團隊都歡迎與我們合作。我們想向我們的用戶和合作夥伴保證，所有其他Bybit 冷錢包都完全安全。所有客戶資金都是安全的，我們的營運照常進行，不會中斷。透明度和安全性仍然是我們的首要任務，我們將盡快提供更新。

Bybit 表示，其他Bybit 冷錢包都是安全的，客戶資金不受影響且保持安全。我們了解當前情況導致提款請求激增。雖然如此高的數量可能會導致延遲，但所有提款都在正常處理中。 Bybit 擁有足夠的資產來彌補損失，其資產管理規模超過200 億美元，並將在必要時使用過橋貸款來確保用戶資金的可用性。

Coinbase 主管Conor Grogan 推文表示，Binance 和Bitget 剛剛將超過50,000 枚ETH 直接存入Bybit 的冷錢包，其中Bitget 的存款尤為引人注目，佔該交易所所有ETH 的四分之一。由於跳過了存款地址，這些資金顯然是由Bybit 自行協調的。 Bybit CEO Ben Zhou 表示：感謝Bitget 在此刻伸出援手， Binance 和其他幾位合夥夥伴我們正在溝通，這筆資金跟幣安官方沒關係。

Bitget CEO Gracy 表示，Bybit 是值得尊敬的競爭對手跟合作夥伴，這次的損失雖然很大，但也就是他們一年的利潤，我相信客戶資金是100% 安全的，沒必要恐慌和擠兌。另外Gracy 表示借給Bybit 的是Bitget 本身的資產，不是使用者的資產。

慢霧團隊發文補充了部分細節，攻擊者部署了一個惡意實現合約，隨後攻擊者透過三位所有者簽署交易，將Safe 的實現合約替換為惡意合約，利用惡意合約中的後門功能sweepETH 和sweepERC20 清空了熱錢包資金。

Dilation Effect 分析指出，相較於前幾次類似事件，Bybit 事件裡只需要拿下一個簽名者就可以完成這次攻擊，因為攻擊者用到了一個「社工」技巧。分析鏈上交易可以看到，攻擊者透過delegatecall 執行一個惡意合約的transfer 函數，transfer 程式碼是用SSTORE 指令修改slot 0 的值，從而將Bybit 冷錢包多簽合約的實作位址變更成了攻擊者位址。只需要搞定發起這筆多簽交易的人/設備，後面的幾個審核人員看到這個transfer 時，會大大降低警覺。因為正常人看到transfer 以為是轉賬，誰知道竟然在變更合約。

Chainlink 數據顯示，在Bybit 安全事件揭露後，USDe 一度閃崩至$0.965 後拉回至$0.99。 Bybit 整合了USDe 可作為抵押資產來交易該交易所UTA 中所有資產的永續合約。 ethena_labs 發文稱，他們已關注Bybit 目前發生的情況，並將持續監控進度。所有支援USDe 的現貨資產均存放在場外託管解決方案中，包括與Bybit 透過Copper Clearloop 的合作。目前，沒有現貨資產存放在任何交易所。與Bybit 對沖部位相關的未實現PNL 總額不到3,000 萬美元，低於儲備基金的一半。 USDe 目前保持超過完全抵押，並將根據最新資訊提供更新。

幣安聯合創始人CZ 回覆稱，這不是一件容易處理的情況，可能建議暫停所有提款，作為標準安全預防措施，如有需要，將提供任何幫助。何一表示願意提供協助。

Safe 的安全團隊回應稱，正在與Bybit 緊密合作，進行持續調查。目前尚未發現官方Safe 前端被攻破的證據，但出於謹慎考慮，Safe Wallet 暫時暫停某些功能。慢霧餘弦表示，類似先前Radiant Capital 案例，也可能遭到北韓駭客竊盜。 Radiant Capital 表示，其10 月遭遇的一起價值5000 萬美元的攻擊事件與北韓駭客組織有關，該事件涉及複雜的身份偽造和多層次的網路釣魚攻擊。攻擊者冒充前承包商，透過社會工程手段取得敏感憑證，從而入侵協定係統實施攻擊。

安全分析師認為，這與WazirX 和Radiant 類似，簽署者的電腦或中間介面遭到駭客攻擊，這次駭客攻擊的可能原因如下：駭客在簽署者的電腦/瀏覽器中植入病毒，將交易替換為惡意交易，然後將其發送到硬體錢包。此病毒可能位於堆疊的任何部分（例如，惡意擴展、錢包通信…）- 安全介面遭到駭客攻擊，它顯示了一筆交易，但向錢包發送了另一筆交易最終結果是簽名者在安全接口中看到了一筆無辜的交易，但實際上惡意交易被發送到了他們的錢包，在完整的事後分析出爐之前，我們無法確定。

OneKey 表示，駭客大概率是已經確認了Bybit 的三位多簽的電腦已被入侵，具備攻擊條件，在等他們操作。接下來，當多簽工作人員執行日常轉帳之類的簽名操作時，駭客替換了簽名內容。工作人員在網頁上看著以為是轉帳之類的正常的交易——殊不知被改成了“把safe 合約升級替換為此前部署的惡意合約”的交易。於是，慘劇便發生了。帶後門的惡意合約，被駭客輕鬆提取了所有資金。

Bybit 表示，不會馬上購買ETH，而是依賴合作夥伴提供過橋貸款。將確保所有的用戶都可以提現，但由於流量是平時的100 倍，需要一些時間處理，以及需要對大額提現進行一些風險確認。

Dilation Effect 指出，一般硬體錢包配合Safe 多簽的機制早已無法滿足大資金的安全管理需求。如果攻擊者有足夠耐心去搞定多個簽名方，那麼整個操作過程就沒有其它措施去進一步保證安全。大資金的安全管理一定要使用機構級託管方案。

根據DeFiLlama 數據，包括被駭客入侵的資金在內，Bybit 近24 小時的總流出量為23.99 億美元。目前，平台鏈上可驗證資產超過140 億美元，其中比特幣和USDT 佔比接近70%。 Bybit 公告表示，已向相關當局報告案件，並將在獲得更多資訊後提供更新。此外，與鏈上分析提供者的合作幫助識別並分離了相關地址，旨在減少惡意行為者透過合法市場處置ETH 的能力。

這事件可能引發關於以太坊分叉的討論。 Conor Grogan 表示，儘管他認為分叉的呼聲過於激進，但預計會有關於此問題的真正辯論。 Arthur Hayes 表示，作為一個大量持有以太坊的投資者，他認為以太坊自2016 年DAO 駭客事件硬分叉後就不再是「貨幣」。他表示，如果社區決定再次回滾，他會支持這項決定，因為在2016 年社區已經投票反對不可變性，為什麼不再這麼做呢？