Bybit 被竊 15 億美元，或許是加密史上最大的被竊案，刷新了 2022 年的 Axie 被竊記錄。目前被竊事件在市場上引發了不少恐慌，ETH 價格短暫大幅波動，但暫未發生當年 FTX 程度的擠兌事件。

而諷刺的是，不少投資者才剛從 FTX 的破產清算中拿回部分賠款。 「時隔 2.5 年，終於收到了 FTX 的賠款然後存入了 Bybit，結果第二天 Bybit 的熱錢包就被盜了”，這是今天半夜流傳最廣的地獄笑話梗，段子背後卻又為加密行業籠罩了一層陰雲。

深夜突發被盜

2 月 21 日 23 時，加密 KOL Finish 發文稱，根據鏈上數據，Bybit 的一個多重簽名地址將價值 15 億美元的 ETH 轉移到新地址。

資金到達新地址 0x47666fab8bd0ac7003bce3f5c3585383f09486ed0ac7003bce3f5c3585383f09486e326b 6e71c1b4ab449e，0xa4 目前正在出售 stETH 和 mETH 以換取 ETH。

「目前該地址正在使用 4 種不同的 DEX，如果他們只是將 LSD 換成原生 ETH，交易執行效果會很糟糕（磨損較大）。這種規模通常會透過場外交易進行，因此這很不尋常。」

相關閱讀：《時間 500000 萬美元 500000000000000000 億美元， 500000000000000000000 億美元。

史上最大被竊金額？

根據 EmberCN 監測，Bybit 的 ETH 多簽冷錢包被盜 51.4 萬枚 ETH，價值 14.29 億美元。駭客已經將其中 49 萬個 ETH 分散轉移到了 49 個地址中 (每個地址 1 萬枚)。 「另外還有 1.5 萬枚 cmETH 正在被黑客解質押中 (有 8 小時等待期，不知道這個能否攔截下來了)。」

根據 CoinMarketCap 的數據，Bybit 在被駭客攻擊之前擁有 $16.2B 的儲備資產，被盜的 $1.46 4%。而這或許是加密史上被竊金額最大的一次，佔之前所有加密駭客攻擊的 16%。先前史上最大的加密貨幣竊盜案是 2022 年 3 月 29 日發生的 Ronin Network（Axie Infinity）駭客攻擊。駭客竊取了大約 620 至 6.25 億美元的加密貨幣，其中包括 173,600 枚 ETH 和 2550 萬美元的 USDC。

駭客 Bybit 被竊訊息發酵後，ETH 短短跌至 2,600 美元區間。

唯一被駭客攻擊的是 ETH 冷錢包，Bybit 的熱錢包、暖錢包和所有其他冷錢包都沒有受到影響。根據社群回饋，所有提現均能正常提出，提現時間在 20 分鐘內。

也有社群成員向 ChatGPT 和 Grok 詢問了 Bybit 的年度營收和利潤預估。兩者給出的計算結果相近：年度營收約 20 億美元，年度獲利約 6 億美元。

“Bybit 依然，有償付能力，即使此次黑客攻擊導致的損失無法追回，所有客戶資產仍然保持 1:1 仍然，我們可以承擔這筆損失。

被竊原因是多簽錢包 safe?

2 月 22 日，慢霧創始人餘弦發文表示 Bybit 黑客攻擊手法與朝鮮黑客相似，“雖然現在沒有明確證據，但從搞 Safe 多簽的手法及目前洗幣手法，像朝鮮黑客。”

與此同時，DefiLlama 的創始人指出，黑客攻擊與朝鮮攻擊。保持警惕。

23 時 44 分，在 Bybit 聯合創始人兼 CEO Ben Zhou 的公告中顯示：“Bybit 的 ETH 多重簽名的地址且 URL 來自 Safe。這導致駭客控制了他們簽署的特定 ETH 冷錢包，並將錢包中的所有 ETH 轉移到這個未確認的地址。

在慢霧進一步的調查中發現，該漏洞的更多細節為：

1）一個惡意的實施合約於 UTC 2025-02-19 7:15:23 被部署：
https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882…
32da69d62081c68ad7882…
3）攻擊者隨後利用函式合約中的門

此手法與 2024 年 10 月的 Radiant Capital 被竊案也有一些相似之處：

當時，Radiant Capital 遭遇的安全漏洞，導致了約 5,000 萬美元的資金被竊。攻擊者利用惡意軟體感染了至少三名核心開發者的設備，這些開發者均是長期受到信任的 DAO 貢獻者，並使用硬體錢包進行交易。駭客透過篡改 Safe{Wallet}（即 Gnosis Safe）的前端介面，使受害者在簽署交易時誤以為是合法的操作，實際上卻在後台執行了惡意交易。

攻擊過程是，開發者的裝置被植入高度複雜的惡意軟體，導致他們在簽署交易時無意中批准了駭客的惡意操作。 Safe{Wallet} 的前端未顯示異常，使得受害者無法察覺交易被竄改。駭客利用交易失敗的常見現象（如 Gas 費波動、同步延遲等），誘導開發者多次重新簽署，從而獲得多個有效的惡意簽名。儘管交易經過 Tenderly 等工具的模擬和審核，但由於惡意軟體操縱了開發者設備，所有檢查結果仍顯示正常，導致攻擊未被及時發現。

相關閱讀：《Radiant Capital 驗屍報告》

Safe 是以太坊生態中最被重複使用的多重簽名錢包，也是大戶專用錢包。今年 Safe 發幣時，空投地址前 100 的名單裡，幾乎清一色都是專案方或是機構。包括 OP、Polymarket、Drukula、Worldcoin、Lido 等等。相關閱讀：《Safe 即將交易，代幣經濟學與生態一覽》

Safe 的設計極大提升了資金管理的安全性。透過多簽機制，資金儲存在智慧合約地址中，只有在滿足預設簽名數量（如 3/10）後，交易才能執行。這種機制有效降低了單點失誤的風險，即使一個簽章位址私鑰洩露，攻擊者也難以取得足夠的簽章完成交易。

目前，Safe 安全團隊表示：「尚未發現官方 Safe 前端遭到入侵的證據。但出於謹慎考慮，Safe{Wallet} 已暫時暫停某些功能。」正在與 Bybit 密切合作，進行持續調查。

一些社群成員發動了 Safe 的調侃：多重簽名就是一個「掩耳盜鈴」的裝飾。同時也有不少業界從業人員發出反思和對業界的擔憂：「如果多重簽名錢包都不安全，那麼還有什麼人會認真對待這個行業呢？」｜

目前事件調查仍在進行中，律動 BlockBeats 將持續關注。

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia