15亿美金币盗事件剧情惊天逆转，真相待揭！

Bybit15亿美金的加密货币被盗一事曾掀起轩然大波，外界对多个签名人都被攻破的情况充满疑惑。2月26日晚间，Bybit与Safe同时发布公告，揭开了这场盗窃案背后令人震惊的真相。

Safe经过对此次针对性攻击的取证审查后得出结论，针对Bybit Safe的攻击竟是通过入侵Safe{Wallet}开发人员的机器实现的，进而导致了伪装的恶意交易。背后的攻击者是臭名昭著的Lazarus Group，这是一个受政府支持的朝鲜黑客组织，擅长对开发人员凭证进行复杂的社会工程攻击，偶尔还会利用零日漏洞。

外部安全研究人员的审查表明，Safe智能合约以及前端和服务的源代码并无漏洞。事件发生后，Safe{Wallet}团队迅速展开全面调查，并分阶段恢复了以太坊主网上的Safe{Wallet}。团队不仅完全重建、重新配置了所有基础设施，还轮换了所有凭证，确保彻底消除了攻击隐患。待调查最终结果出来后，Safe{Wallet}团队还将发布完整的事后分析报告。目前，Safe{Wallet}前端仍在运行，并加强了安全措施，但用户在签署交易时仍需格外小心谨慎。

Bybit也公布了此次攻击的详细信息：2025年2月19日，恶意代码被注入到Safe{Wallet}的AWS S3存储桶中，并在2月21日Bybit执行多重签名（multisig）交易时触发，导致资金被盗。攻击者通过篡改Safe{Wallet}的前端JavaScript文件，注入恶意代码，修改了Bybit的multisig交易，将资金重定向到攻击者地址。

恶意代码专门针对Bybit的multisig冷钱包地址及一个测试地址，且仅在特定条件下激活。在恶意交易执行约两分钟后，攻击者迅速从AWS S3存储桶中移除恶意代码，试图掩盖犯罪痕迹。调查发现，攻击源于Safe{Wallet}的AWS基础设施（可能是S3 CloudFront账户/API Key泄露或被入侵），而Bybit自身基础设施并未遭受攻击。

Safe多签钱包基于区块链智能合约，通过多重签名机制管理资产，核心在于需多个预定义签名者共同授权才能执行交易，其技术原理依赖椭圆曲线数字签名算法。

此事件引发了行业内众多人士的讨论。Polygon的Mudit Gupta质疑开发人员为何能随意更改Safe生产网站内容，以及为何没有对更改进行监控。binance创始人CZ批评Safe语言模糊，对“入侵Safe{Wallet}开发人员机器”的具体方式提出诸多疑问，还否认binance使用Safe保存资产。

慢雾余弦指出Safe智能合约虽没问题，但前端被篡改伪造，存在供应链攻击风险，巨额资产安全管理模型亟待升级。GCC主理人康斯坦丁认为这对行业是重大打击，去中心化公共物品存在单点风险，众多web3开源依赖项都有类似风险。

Hasu表示Bybit基础设施也存在不足，转移大额资金时应在第二台隔离机器上验证消息完整性。Mingdao则强调大额资金签名交易应由永久离线电脑生成，避免冷钱包变热钱包。Vitalik曾透露个人90%的资产都用Safe多签保管。Wintermute创始人认为Bybit安全措施并非完美，使用Fireblocks或Fordefi等解决方案可能更合理。

Bybit这起金额巨大的被盗事件，不仅给自身带来重创，也为整个加密货币行业敲响了警钟，促使各方重新审视和完善安全管理模式 。