Bybit黑客事件揭秘：Safe钱包漏洞成攻击源头，开发者设备遭入侵，损失赔偿成焦点！

加密货币交易所 Bybit 执行长 Ben Zhou 昨（26）晚在社交平台 X 上发文表示，Bybit 被骇报告已经出炉，调查结果显示为是加密货币钱包公司 Safe 的基础设施漏洞所致，Safe 怎么回应？
（前情提要：从Bybit骇客攻击事件看交易所安全：安全与合规如何引领平台健康发展？）

 

加密货币交易所 Bybit 在 2 月 21 日惨遭骇客攻击，被盗共计约 50 万枚 ETH、stETH、cmETH 和 mETH，当时价值约 14.6 亿美元，成为加密货币史上最大攻击案。

Bybit 公布被骇报告：Safe 基础设施漏洞所致

就在昨（26）晚，Bybit 执行长 Ben Zhou 在社交平台 X 上发文表示，Bybit 被骇报告已经出炉，调查结果总结为是加密货币多签钱包 Safe 的基础设施漏洞所致。

在这份报告中，负责调查的安全公司 Sygnia 得出结论：

对三个签名机器的取证调查表明，攻击的根本原因是来自 Safe{Wallet} 基础设施的恶意程式码。未发现 Bybit 基础设施内部存在安全漏洞。调查仍在进行中，以进一步确认结果。

安全公司%20Verichains%20的调查结果也与此类似：

app.safe.global%20的良性%20JavaScript%20档案似乎已于%202025%20年%202%20月%2019%20日%2015:29:25%20UTC%20被替换为恶意程式码，特别针对%20Bybit%20的%20Ethereum%20Multisig%20Cold%20Wallet（地址：0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4）。此次攻击设计为在下一次%20Bybit%20交易中启动，该交易发生于%202025%20年%202%20月%2021%20日%2014:13:35%20UTC。

根据%20Bybit%20签名机器的调查结果和在%20Wayback%20Archive%20上发现的快取恶意%20JavaScript，我们强烈推测%20Safe.Global%20的%20AWS%20S3%20或%20CloudFront%20帐户/APi%20密钥可能已经泄漏或被攻破。

备注：2024%20年%209%20月，Google%20Search%20宣布与%20Wayback%20Archive%20整合，提供直接连结到%20Wayback%20Machine%20上的网站快取版本，这验证了快取的恶意文件的合法性。

 

Safe%20回应：是开发者机器遭入侵导致%20Bybit%20被骇

对此，Safe%20官方也在昨（26）日回应表示，此次针对%20Bybit%20的攻击是通过入侵%20Safe{Wallet}%20开发者的机器实现的，官方并未发现%20Safe%20智能合约或前端服务源程式码存在漏洞：

。简要总结：

经调查确认，拉萨路（Lazarus）对%20ByBit%20发动了针对性攻击。Safe%20智能合约未受影响，攻击是通过入侵一台%20Safe{Wallet}%20开发者机器执行的，影响了%20ByBit%20营运的一个帐户。Safe{Wallet}%20已新增安全措施，消除了该攻击途径。

。完整声明：

对拉萨路集团（Lazarus%20Group）针对%20ByBit%20的目标攻击进行的审查得出结论，此攻击是通过一台被入侵的%20Safe{Wallet}%20开发者机器实现的，导致提交了一笔伪装的恶意交易。拉萨路是一个由北韩政府支持的骇客团体，以对开发者凭证进行复杂的社交工程攻击而闻名，有时还结合%20zero-day%20exploits。

重要提示：外部安全研究人员的审查显示，Safe%20智能合约、前端及服务的源程式码中不存在任何漏洞。

在最近的事件后，Safe{Wallet}%20团队进行了彻底调查，目前已分阶段在以太坊主网上恢复%20Safe{Wallet}%20的运作。Safe{Wallet}%20团队已完全重建并重新配置所有基础设施，并更换所有凭证，确保攻击途径已被完全消除。

在调查的最终结果出来之前，Safe{Wallet}%20团队将发布一份完整的后续分析报告（post-mortem）。

Safe{Wallet}%20前端保持运作，并已实施额外的安全措施。然而，用户在签署交易时需格外谨慎并保持高度警惕。

Safe%20承诺领导一项行业范围的举措，提升交易的可验证性，这是整个生态系统面临的挑战。

Safe%20仍致力于保障安全、透明度、自我托管，并推动行业向前发展。

本站补充：Safe%20提到的开发者机器（developer%20machine），推测指的是%20Safe%20团队中某位开发人员所使用的工作站或个人电脑，这台设备在开发、测试或维护相关软件（如前端、服务或与智能合约互动的工具）时被入侵。

CZ：Safe%20回应模糊

而对于%20Safe%20的回应，币安交易所创办人赵长鹏（CZ）则表示，其回应有点含糊其辞：

我通常会尽量避免批评其他业内公司，但偶尔还是会这么做。

 

这次%20Safe%20的更新不太好。它用模糊的语言轻描淡写地处理了问题。看完后我有更多的问题，而不是答案。

 

「入侵%20Safe%20{Wallet}%20开发者机器」是什么意思？他们是怎么入侵这台机器的？是社会工程攻击、病毒，还是其他方式？

 

为什么一台开发者机器会有权访问「由%20Bybit%20操作的帐户」？是从这台开发者机器直接部署了程式码到生产环境吗？

 

他们是怎么欺骗多签步骤中的%20Ledger%20验证的？是盲签吗？还是签名者没有正确验证？

 

那么，14%20亿美元是使用%20Safe%20管理的最大地址吗？为什么他们没攻击其他地址？

 

其他「自我托管，多重签名」钱包提供商和用户可以从这次事件中学到什么教训？

 

SAFE%20币价急速下跌后急拉

Bybit%20骇客调查报告出炉后，Safe%20代币%20$SAFE%20短时内迅速下跌，最低跌破%200.45%20美元，不过或许是要杀空头，撰稿当下又拉涨至%200.58%20美元，近%2024%20小时从一度下跌近%2010%20%%20后反转上涨%2015%。

 

Safe Wallet 是什么？

Safe{Wallet} 是一个广受信任的智能帐户钱包项目，专注于在以太坊及其他主流 EVM（以太坊虚拟机）兼容区块链上提供安全、灵活的数位资产管理解决方案。它最初由 Gnosis 团队开发，后来更名为 Safe，并由 Safe Ecosystem Foundation 负责推广其生态发展。该项目的核心目标是通过多重签名（multisig）技术和智能合约，为个人、团队、开发者、去中心化自治组织（DAO）以及投资者提供一个去中心化的资产保管平台。

Safe 的主要特点包括：

• 多重签名安全性：采用多签机制，要求在执行交易前获得指定数量的签名授权；
• 智能合约钱包：它不仅限于简单的资产存储，还能实现更高的可编码性和客制化功能；
• 跨链支持：支持多个 EVM 兼容网路；
• 广泛的生态集成：它与 200 多个去中心化应用（dApp）兼容；
• 开源与透明：它是一个开源软体，其智能合约经过多次审计，被认为是业界最安全的解决方案之一。