Bybit 交易所于 2025 年 2 月 21 日约下午 2 点(UTC 时间)遭到黑客攻击,损失接近 15 亿美元 – 这是迄今为止加密货币历史上最大的安全事件。与以往的安全漏洞不同,此次盗窃并非由智能合约权限问题引起,而是由 Bybit 使用的Safe 多签钱包进行恶意升级所致。攻击者诱骗多个 Safe 钱包操作员签署了钱包升级交易,从而成功控制了 Safe 钱包。一旦得手,攻击者便套现了资金。
我们发现此次攻击是一次精心策划、针对 Bybit 的行动,攻击者在发动最终攻击的两天前已在链上部署并测试了攻击合约。在本篇博客中,我们将首先介绍 Safe 钱包,然后分析整个攻击过程,最后提供一些安全建议。
什么是 Safe 多签钱包
Safe 多签钱包是一种智能合约钱包,其核心功能是使用多个密钥来授权交易。该钱包要求多个用户(通常是预先指定的密钥持有者)签署交易,然后才能执行转账或其他操作,从而增强安全性,防止单点故障或单个密钥被攻破。
钱包创建时,会设置多个密钥(通常采用“n-of-m”模型),这意味着在多个密钥持有者中,需要一定数量的签名才能执行交易。例如,“3-of-5”多签钱包意味着在五个密钥持有者中,至少需要三个签名才能使交易有效。
尽管存在不依赖官方 Safe 网站构建交易的方法,但从用户体验的角度来看,大多数用户选择通过 Safe 网站来构建和签署交易。通常,用户会访问 https://app.safe.global 来构建交易。当使用 Safe 钱包构建和签署交易时,用户首先会模拟交易,以了解其在链上的潜在结果,并验证其是否符合预期。只有在结果符合预期的情况下,操作员才会继续完成签名过程。
下面是 Safe 钱包中交易构建界面的截图。由于 Safe 网站目前暂时无法访问,以下截图来源于互联网(来源:https://milkroad.com/reviews/safe-wallet/)。
实际上,在使用 Safe 钱包时,存在以下安全风险:
-
冗长的安全链: 用户必须信任 Safe 官方网站、应用程序和后端服务,以及自己的计算机和浏览器,最后是用于签名的钱包(无论是浏览器扩展还是硬件钱包)。如果其中任何一个组件被攻击者攻破,操作员可能会收到错误信息(例如,你可能正在签署升级交易,但界面显示的是普通转账交易)。
-
硬件钱包缺乏交易解析能力: 硬件钱包通常无法解析 Safe 交易。这意味着,如果用户被 Safe 界面误导,在最终签名时将无法进行交叉验证,从而导致所谓的“盲签”。
攻击过程
在发动最终攻击之前,攻击者已在链上部署并测试了攻击合约。整个攻击过程中涉及多个不同的地址。
第一步:获取资金
攻击者首先需要获取攻击所需的初始资金。通常,攻击者会通过混合平台(例如 Tornado Cash)获取资金,以隐藏行踪。然而,在此次事件中,攻击者的资金来自 Binance。我们认为这可能是攻击者隐藏身份的一种方式,因为来自混合服务的资金和地址通常会受到安全公司的密切监控,而来自交易所的资金受到的监控则相对较少。此外,尽管资金来源于交易所,但该交易所账户可能未进行 KYC,或者其 KYC 信息是伪造的。
第二步:部署和测试合约
在发动实际攻击之前,攻击者进行了一系列测试。这些测试包括部署一个 Safe 钱包,部署攻击合约,并使用自部署的 Safe 钱包执行升级操作以及从升级后的 Safe 钱包中提取资金。此外,在测试期间,攻击者仅尝试了有限范围的资产——这些资产与最终在 Bybit 被耗尽的钱包中的资产相匹配。这表明攻击者专门针对 Bybit 的 Safe 钱包。
攻击者为测试目的创建了一个 Safe 钱包;其中一个测试 Safe 钱包地址是: 0x509b1eDa8e9FFed34287ccE11f6dE70BFf5fEF55
攻击者测试了 Safe 合约的升级。我们可以通过 Phalcon Explorer 在以下链接查看相关信息:
在测试完升级后,攻击者继续测试了提现过程。他们直接从地址为:
0x509b1eda8e9ffed34287cce11f6de70bff5fef55 的升级后的 Safe 合约中提取了 stEth 资产。
第三步:诱骗用户构建和签署升级交易
测试完成后,攻击者需要诱骗用户构建和签署 Safe 合约升级交易。由于测试是在两天前进行的,欺骗很可能发生在测试后的两天内。目前尚未公开确认这是通过攻击 Safe 服务器还是攻击钱包操作员的计算机实现的。
第四步:发动攻击
一旦攻击者获得了足够多的签名,他们就在链上提交了交易,并成功执行了合约升级。升级后,攻击者套现了资金。我们发现,恶意升级交易与之前的测试交易完全相同。
教训与洞察
事实上,去年曾发生过两次类似的攻击——包括Radiant和印度交易所 WazirX(损失超过 2 亿美元)的盗窃案,这两起事件都是由于使用 Safe 钱包签署了恶意交易所致。此次事件的区别在于,此次签署的交易是合约升级交易。因此,从这些安全事件中吸取教训并防止未来攻击,仍然是交易所和持有大量数字资产的项目团队必须解决的挑战。这可以通过改进日常运营、内部流程管理、敏感操作的安全协议以及去中心化设置来降低被攻击的风险。
其次,钱包在交易签名过程中如何更好地参与安全过程的问题仍然悬而未决。目前,尤其是硬件钱包通常缺乏解析复杂交易的能力。此外,由于硬件钱包不直接连接互联网,如何执行交易模拟(并以易于理解的方式向用户呈现结果)以避免盲签仍然是一个挑战。
此外,有必要实施多重安全措施,例如使用 BlockSec Phalcon 等安全监控平台来监控 Safe 钱包,确保及时检测和处理任何异常行为。事实上,Phalcon 已经具备监控 Safe 钱包的能力,我们将继续升级我们的产品,以便将来能够自动配置此类监控,帮助用户在管理大量资产时使用 Safe 避免风险。尽管此次事件是由于使用了 Safe 钱包,但无需惧怕“Safe”,它仍然是多签钱包的事实标准,其合约安全性已得到长期验证。
最后,我们必须强调,安全防御绝非单点突破的战场,也并非一劳永逸的银弹。 在确保运营和业务安全的同时,行业参与者可以利用 BlockSec Phalcon 作为最后一道防线来保护其资产。
