交易所注册链接, ~40%折扣 insight加密货币套利会员群
Cobo 安全团队对 Bybit 被盗事件的始末进行了深入的分析,揭示了其中暴露的深层次系统性问题,并探讨如何在这个快速发展的行业中构建与资产规模相匹配的安全防护体系。
近日加密货币交易所 Bybit 遭遇了一起造成 15 亿美元损失的重大安全事件。这起事件令人震惊之处不仅在于损失金额之大,更在于攻击手法揭示了当前数字资产托管体系中潜藏的根本性缺陷。
据 Cobo 安全团队分析,此次事件揭示的问题远超表面的技术漏洞。在数字资产管理规模已达数万亿美元的今天,传统的安全思维和防护体系正面临着前所未有的挑战。这需要我们从安全基础架构到安全管理流程进行全面的反思和重构。
攻击过程
2025 年 2 月 21 日,加密货币交易所 Bybit 遭遇了一起精心策划的攻击:冷钱包操作员在 Safe{Wallet} 页面看到一笔看似常规的热钱包转账请求。然而,这个表面正常的操作实际隐藏着对 Safe{Wallet} 实现合约的操纵,最终导致攻击者获得了整个冷钱包的控制权。
区块链分析显示,此次攻击与朝鲜黑客组织 Lazarus Group 有关。这已是该组织近期针对基于 Safe{Wallet} 平台的又一次成功攻击。此前,Radiant Capital 和 WazirX 也分别在 2024 年遭遇类似攻击,损失达 5000 万和 2.35 亿美元。
暴露的关键漏洞
从攻击手法来看,黑客充分利用了人机交互界面、硬件钱包显示和风控机制等多个环节的漏洞,展现出极其专业的攻击水平。以下是此次事故暴露出的主要安全隐患的详细分析:
热端设备被攻破
据最新报告显示,攻击者成功入侵了 Bybit 操作员的设备并篡改了 Safe{Wallet} 前端界面,这导致:
· Bybit 冷钱包操作员看到的界面与实际签名内容不符
· 交易数据在到达硬件钱包前被篡改
· 操作员在不知情的情况下批准了恶意合约升级
Bybit 方面表示,他们在 Safe{Wallet} 页面上执行了常规操作,并进行了所有必要的审查。
与此同时,Safe{Wallet} 已确认其调查未发现 Safe{Wallet} 代码库被入侵、依赖包被植入恶意代码或基础设施遭到未授权访问等情况。虽然用户界面显示了正确的交易详情,但链上最终执行的是一笔带有有效签名的恶意交易。这表明问题可能源自 Bybit 一方的安全漏洞,而非 Safe{Wallet} 平台本身的问题。
硬件钱包盲签隐患
当前大多数加密硬件钱包在处理复杂交易时存在显著局限性:
· 解析能力不足:无法完整解析和显示 Safe{Wallet} 等多重签名钱包的详细交易数据;
· 验证机制缺失:无法验证签名内容是否与前端显示内容是否一致;
· 风险提示不足:对潜在危险操作缺乏明确的警示机制。
这些局限导致操作员不得不进行「盲签」操作,即在无法完全理解和验证交易实际内容的情况下进行授权。在 Bybit 事件中,正是这一弱点被攻击者利用,通过精心构造的虚假界面误导操作员执行了灾难性的授权操作。
缺乏独立的风控措施
事后分析发现,虽然 Bybit 已经采用了多重签名机制,但由于多个签名方都依赖于相同的基础设施和验证流程,一旦其中某个环节被攻破,整个安全体系就可能被突破。这突显了构建多层次防御体系的重要性,尤其是最后一道防线的关键作用。这些看似基础却能成为最后一道生命线的措施包括:
· 设置地址白名单:只允许向预先认证的地址进行转账,可以有效阻止资金流向攻击者控制的未知地址;
· 分级审批机制:对超过特定金额的交易启动更严格的人工审查流程,引入独立团队进行交叉验证;
· 异常监控系统:建立对合约升级、权限变更等高风险操作的实时监控,一旦发现异常立即预警;
· 冷却期制度:对敏感操作设置 24-48 小时的观察期,为发现和纠正错误预留时间。
这些措施虽然看似会降低运营效率,但在面对专业的黑客攻击时,往往能成为捍卫数字资产安全的最后一道防线。正如此次攻击事件所证明的,在数字资产托管领域,宁可备而不用,也不能临时抱佛脚。
Cobo 安全主张:多层次安全方案
要建立真正可靠的系统,需要在多个层面实施安全加固:
面对如此专业的攻击手法,单一的安全措施显然不够,数字资产的安全需要建立起立体化的防御体系。Cobo 专家团队建议从以下两个维度着手:
水平增强措施(分布式控制):
水平安全增强强调通过引入多个独立相关方来管理和使用私钥,采用 MPC 或多重签名等技术方案,实现相互制衡,避免单点故障风险。
这种方案的核心不仅在于增加签名方的数量,更重要的是确保各方在技术实现上的独立性。比如各方采用的硬件钱包、使用的操作软件、风控检查、地域分布等等都应该独立。
此次事件中,Bybit 虽然引入了多个签名方,但是他们使用的方案全链路大部分都是 Safe{Wallet} 提供的,这套方案一旦被攻破或者有问题,整个多签方案也被轻易绕过了。
垂直增强措施(强化每个签名者的安全性):
垂直安全增强强调每个签名方都应具备完整、独立的交易验证能力。这意味着每个签名方需要建立自己的完整技术栈,包括独立的用户界面、风控体系和私钥管理软硬件设备。
Bybit 事件中暴露的硬件钱包盲签问题,正是由于缺乏垂直方向的能力建设导致。若各签名方都具备完整的交易解析和验证能力,这类安全漏洞就能被有效预防。 另外,各签名方可引入如黑白名单、人工确认或者 AI 扫描等等风控规则也都是垂直方向上投入产出很高的增强措施。
Cobo 针对 Safe 多签钱包的定制安全方案
Bybit 事件不仅暴露了具体的操作漏洞,更揭示了当前数字资产托管体系的架构性缺陷。这些问题并非单个产品或流程可以解决,而是需要整个行业从底层架构开始重新思考和构建。要建立真正安全可靠的数字资产托管体系,我们需要从硬件设施、软件架构和互操作标准三个维度同步升级。
- Safe 钱包的共同签名机制
Bybit 事件暴露出传统多重签名安全的根本缺陷——没有独立的交易验证层,攻击者可以操纵界面、合约逻辑和交易数据来欺骗签名者。
Cobo 推出针对 Safe{Wallet} 的协签名服务,通过引入独立第三方验证机制,弥补传统多重签名方案的安全短板。
客户可以将 Safe{Wallet} 中的一个签名者权限委托给 Cobo 托管,从而获得:
启用多方审批流程;
配备独立风控;
执行严格的交易审查规则,包括:
· 转账地址黑白名单管理;
· 智能合约交互地址控制;
· 参数级合约交互访问控制。
该方案并非要取代现有的硬件钱包 + Safe{Wallet} 多重签名体系,而是作为独立的安全增强层,与现有方案形成互补。由于 Cobo 仅持有单个签名权限,客户始终保持对资产的最终控制权,既确保了安全性的提升,又避免了资产控制权的让渡。
这种创新的安全架构,能有效防范类似 Bybit 事件的发生,为机构级客户提供更可靠的资产安全保障。
- 推动硬件钱包厂商合作,推出针对硬件钱包的签名审核工具
传统硬件钱包在交易细节展示方面存在不足,这使用户容易遭受界面篡改、钓鱼攻击和盲签等风险。
为应对这些挑战,加密行业可以引入以下解决方案:
· 在 Safe{Wallet} 中实现 EIP-712 消息解码,确保交易细节完全可见
· 提供实时风险评估,无需频繁更新固件
Cobo 正在推动与各大硬件钱包厂商的深度合作,在保留其原有安全方案的基础上,构建独立的第三方签名审查通道。具体实现包括:
· 部署 Cobo 签名审核工具,在交易签名前对数据进行全面解析
· 提供实时交易模拟功能
· 建立更安全、更及时的交易审查机制
- 推动建立行业级的安全生态
新一代数字资产托管体系需要建立统一的行业标准,包括交易验证规范、安全组件互操作标准和风控评估体系。同时,通过开放平台支持第三方安全服务接入,形成完整的安全生态链。这种标准化和开放性的架构设计,将大大提升整个行业的安全防护能力。
数字资产安全的未来
这起事件中,黑客利用看似微小的操作漏洞造成了 15 亿美元的损失。然而,这不仅仅是一个单点防护疏忽的问题。在一个管理着数万亿美元资产的行业,黑客的专业性和攻击动力都极其强大,任何微小的漏洞都可能被放大为致命威胁。
这意味着,我们需要从根本上重新审视数字资产安全的系统架构,构建基础性的防护体系:
· 横向上,打破当前各个安全模块彼此孤立的状态,构建起相互验证、相互制衡的网络。
· 纵向上,从单个操作环节延伸到整个业务流程,建立起由底层基础设施、中间验证层到上层风控的完整防护链条。每一层都要能独立发现和阻断异常,形成多重屏障。
这种系统性思维要求我们超越简单的多签机制,建立起真正的多维度防护体系。在这个体系中,每笔交易都要经过多层独立验证,每个操作都要有完整的可追溯记录,任何异常都要能被及时发现和处置。
(转自:吴说)