事态反转，Bybit 被盗 15 亿美金竟是 Safe 协议开发者被入侵

作者：吴说区块链

在外界普遍疑惑 Bybit 如何多个签名人都被攻破的情况下，2 月 26 日晚间 Bybit 与 Safe 同时发布了公告。

Safe 表示，对 Lazarus Group 对 Bybit 发起的针对性攻击的取证审查得出结论，此次针对 Bybit Safe 的攻击是通过被入侵的 Safe{Wallet} 开发人员机器实现的，从而导致伪装的恶意交易。Lazarus 是一个受政府支持的朝鲜黑客组织，以对开发人员凭证进行复杂的社会工程攻击而闻名，有时还会结合零日漏洞。

外部安全研究人员的取证审查并未表明 Safe 智能合约或前端和服务的源代码中存在任何漏洞。在最近的事件发生后，Safe{Wallet} 团队进行了彻底的调查，并分阶段恢复了以太坊主网上的 Safe{Wallet} 。Safe{Wallet} 团队已完全重建、重新配置了所有基础设施，并轮换了所有凭证，确保完全消除了攻击媒介。等待调查的最终结果后，Safe{Wallet} 团队将发布完整的事后分析。

Safe{Wallet}前端仍在运行，并采取了额外的安全措施。但是，用户在签署交易时需要格外小心并保持警惕。

Bybit 表示：

攻击时间：恶意代码于 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存储桶中，并在 2025 年 2 月 21 日 Bybit 执行 multisig 交易时触发，导致资金被盗。

攻击方法：攻击者通过篡改 Safe{Wallet} 的前端 JavaScript 文件，注入恶意代码，修改 Bybit 的 multisig 交易，将资金重定向到攻击者地址。

攻击目标：恶意代码专门针对 Bybit 的 multisig 冷钱包地址及一个测试地址，仅在特定条件下激活。 攻击后操作：恶意交易执行后约两分钟，攻击者从 AWS S3 存储桶中移除恶意代码，以掩盖痕迹。

调查结论：攻击源自 Safe{Wallet} 的 AWS 基础设施（可能是 S3 CloudFront 账户/API Key 泄露或被入侵），Bybit 自身基础设施未被攻击。

Safe 多签钱包是一种基于区块链智能合约的加密货币钱包，通过多重签名（Multisig）机制管理资产。它的核心是要求多个预定义签名者（比如 3 个中的 2 个，或 5 个中的 3 个，称为 M/N 机制）共同授权才能执行交易。钱包本身是一个部署在区块链上的合约，记录所有者地址和签名阈值，交易需收集足够签名后由合约验证并执行。它的技术原理依赖椭圆曲线数字签名算法（ECDSA），签名者用私钥对交易签名，合约通过公钥验证。交易提案先存储在合约中，收集签名后提交区块链执行，支持灵活扩展如账户恢复功能。

Polygon Mudit Gupta 质疑，为什么一名开发人员一开始就有权更改 Safe 生产网站上的内容？此外为什么没有对更改进行监控？

币安创始人 CZ 表示，我通常不会批评其他行业参与者，但 Safe 在使用模糊的语言来掩盖问题。“入侵 Safe {Wallet} 开发人员机器”是什么意思？他们是如何入侵这台特定机器的？是社会工程学、病毒等吗？开发人员机器如何访问“由 Bybit 运营的帐户”？一些代码从这台开发人员机器直接部署到生产环境中？他们是如何欺骗多个签名者的 Ledger 验证步骤的？是盲签吗？还是签名者没有正确验证？14 亿美元是使用 Safe 管理的最大地址吗？他们为什么不针对其他人？其他“自我托管、多重签名”钱包提供商和用户可以从中学到什么教训？此外 CZ 否认币安也使用了 Safe 保存资产。

慢雾余弦表示，Safe 确实智能合约部分没问题（链上很容易验证），但前端被篡改伪造达到欺骗效果。至于为什么被篡改，等 Safe 官方的细节披露。Safe 算是一种安全基础设施，理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗。细思恐极的是，所有其它带前端、API 等用户交互服务的都可能会有这种风险。这也是一种经典的供应链攻击。巨额/大额资产的安全管理模型需要有一次大升级。如果 Safe 前端做了基本的 SRI 验证，即使这个 js 被改了，也不会出事。余弦表示，如果那个 safe 的 dev 就是朝鲜特工，他也不会感到意外。

GCC 主理人康斯坦丁表示，这对行业是重大打击，所谓去中心化的公共物品，单点风险甚至在几个普通的合约前端开发人员上，几乎毫无安全性可言。除了 safe 之外，还有一大堆 web3 开源 dependency 都存在类似供应链攻击的风险，它们不仅风控薄弱，还严重依赖传统互联网基建来保障安全。

Hasu 表示，虽然 Safe 前端而非 Bybit 基础设施遭到入侵，但 Bybit 基础设施也不足以阻止最终相当简单的黑客攻击。在转移超过 10 亿美元的资金时，没有理由不在第二台隔离机器上验证消息完整性。

Mingdao 表示，核心在于，大额资金签名交易应该由永久离线电脑生成。只要发起交易方多签人离线签名，再通过联网电脑广播，其它人怎么签，都不会有问题。全部多签人裸跑在联网电脑上，依靠联网网页生成交易，这冷钱包就变热钱包了。这不是safe的锅，毕竟它没托管钱。它只是不幸成了信任的中心点。

Vitalik 也曾表示，他个人 90% 的资产都是用 Safe 多签保管。

Wintermute 创始人表示，并不是说 Bybit 的安全措施完美无缺（看起来他们可能是使用 SAF E 协议的最大多签账户）。如果他们使用 Fireblocks 或 Fordefi 等解决方案，并结合其他措施，特别是在处理简单资金转移时，可能更合理。