Bybit安全調查水落石出：SAFE前端雲服務被攻擊，多簽錢包承載的千億資産如何保安全

作者：Frank，PANews

2025年2月21日，加密貨幣交易所Bybit遭遇史詩級黑客攻擊，價值14.6億美元的資産被朝鮮黑客組織Lazarus盜走。追繳資産之餘，更重要的是查明攻擊路徑，以避免新的攻擊事件發生。2月27日，Bybit發佈黑客取證報告，調查直指資金被盜因Safe基礎設施漏洞導致。但似乎Safe對於這份指控並不願接受。在聲明中承認開發者被入侵，但把主要原因歸咎於朝鮮黑客的高明手段和Bybit的操作失誤。在誰的責任更大的討論中上演「羅生門」，因此也引發了行業内對基礎設施信任、安全範式與人性博弈中的大爭論。

攻擊源於Safe{Wallet}前端雲服務被攻擊

根據Bybit發佈的兩份調查報告（Bybit事件初步報告和Bybit臨時調查報告）顯示，對 Safe{Wallet}資源的進一步分析發現了兩個在 2025年2月19日拍攝的JavaScript資源快照。這些快照的審查顯示，第一個快照包含了原始的、合法的Safe{Wallet}代碼，而第二個快照則包含了帶有惡意JavaScript代碼的資源。這表明，創建惡意交易的惡意代碼直接來源於Safe{Wallet}的AWS基礎設施。

報告的結論顯示：根據對Bybit的簽名者機器的調查結果以及在Wayback Archive中發現的緩存惡意JavaScript有效載荷，我們強烈得出結論，Safe.Global的AWS S3或CloudFront賬戶/API密鑰可能已洩露。

簡單總結來說，這次攻擊事件當中最初的來源是黑客通過攻擊Safe{Wallet}開發者的設備，篡改了AWS S3存儲桶中的前端JavaScript文件，植入針對Bybit冷錢包地址的定向惡意代碼。先前，Safe也曾發佈過一個簡單的調查報告，報告中聲明未發現代碼漏洞和惡意依賴（即供應鏈攻擊），隨後Safe進行了全面審查，並暫停了Safe{Wallet} 功能。這次的調查結果似乎推翻了Safe之前的調查結果。

Safe避重就輕聲明引發更多質疑

Bybit截至目前對Safe在本次事件當中應承擔何種責任並未表態，但社交媒體上在報告發佈後紛紛開始討論Safe的安全漏洞問題並有一些聲音認為，Safe應該對此負責並作出賠付。

Safe官方對於這份報告的態度顯然並不認可。在其官方的聲明當中，在官方聲明中，Safe將責任切割為三個層級：技術方面，強調智能合約未受攻擊，強調産品的安全性。​運維方面，承認開發者設備被入侵導致AWS密鑰洩露，但歸咎於朝鮮黑客組織的國家級攻擊。用戶方面，建議用戶"簽署交易時保持警惕"，暗示Bybit未充分驗證交易數據。

但這一回應卻有避重就輕之嫌，根據報告顯示的流程，Safe在這個過程中存在以下幾個失責之處：

1、權限失控：攻擊者通過入侵開發者設備獲取AWS權限，暴露Safe團隊未實施最小權限原則。例如，一名開發者即可直接修改生産環境代碼，且無代碼變更監控機制。

2、前端安全失職：未啓用SRI（子資源完整性驗證）等基礎防護措施。

3、供應鏈依賴風險：攻擊路徑（開發者設備→AWS→前端代碼）證明Safe過度依賴中心化雲服務，與區塊鏈的去中心化安全理念形成沖突。

此外，行業内對Safe的聲明也提出諸多質疑，幣安創始人CZ連續抛出5個技術性質疑（如開發者設備被入侵的具體方式、權限失控原因等），直指Safe聲明的信息不透明性。Safe未公開攻擊鏈細節，導致行業無法針對性防禦。

代幣詭異上漲，日活下降近七成

社區的另一個大的爭議點在於Safe是否應該賠付Bybit本次事件的損失。一部分用戶認為是Safe的基礎設施漏洞導致了攻擊，Safe 應負責賠償。更有甚者，提議讓Safe的前身公司Gnosis承擔連帶責任賠付損失。Safe最初是作為Gnosis Safe於2017年由Gnosis團隊開發的多簽協議，2022年從Gnosis生態中分拆獨立運營。Gnosis曾在2017年完成了25萬枚ETH的ICO融資，目前財庫還有15萬枚ETH，屬於ETH巨鯨。

但也有人認為，這次事件的主要責任還是在Bybit自身，一方面管理十幾億資産的冷錢包，完全有必要投入研發力量，自研一係列安全基礎設施。另外一方面，Bybit似乎採用的是免費的Safe服務，並未支付訂閱費，因此Safe從這個角度來看也沒有義務承擔責任。

而當事人Bybit在公佈調查報告後，並未提出要求Safe進行財務上的補償。

當行業還在爭論責任歸屬時，資本市場卻上演著荒誕戲碼。Safe的官方代幣似乎因此事件受到了別樣的關注，2月27日SAFE代幣從0.44美元逆勢上漲至0.69美元，10小時的時間最大上漲約58%。不過，從投資邏輯來說，該事件對Safe的品牌主要産生的還是負面影響，上漲或許只是短期的市場情緒使然。

2月27日數據顯示，Safe的總管理資産超過1000億美元，對漏洞細節的緘默，正在動搖其作為行業基礎設施的公信力。

在日活用戶數據上，能夠明顯看到Safe在此事件後遭受了不小的沖擊，相較2月12日的1200日活地址數，該數據在2月27日下降至379個日活，下降接近7成。

此外，前端的中心化風險曝光後，社區也再次關注到前端的安全機制。ICP創始人Dominic Williams稱，朝鮮黑客組織近期成功盜取Bybit 15億美元資金，主要是利用Safe{Wallet}的Web端漏洞，該界面託管在雲端而非智能合約上。Williams批評部分Web3項目僅在「僞鏈上」（fake onchain）運行，導致安全隱患，並建議使用ICP（Internet Computer）進行鏈上計算、數據存儲和用戶體驗驗證，以提升安全性。他提議Safe{Wallet}遷移至ICP，並採用加密認證機制及多方共識治理（如SNS DAO）來增強安全性。

回顧整個事件，看似是朝鮮黑客精心策劃之下的孤立事件，但背後仍暴露出Safe目前多簽錢包在權限設計、供應鏈方面存在的安全漏洞。而從品牌發展的角度來看，為了刻意維護安全神話而急於撇清幹係的做法也適得其反，反而引發了輿論更多的質疑。或許，Safe能夠及時承認失誤之處並推出對應的舉措才更能體現出加密安全領域巨頭的態度。同時，盡早公佈漏洞的細節，也能進一步幫助行業加強對類似漏洞的自查和防範。

内容來源：PANews