Bybit黑客事件调查：Safe前端云服务成突破口，多签钱包安全何去何从？

撰文：Frank，PANews

2025年2月21日，加密货币交易所Bybit遭遇了一次规模空前的黑客攻击，价值14.6亿美元的资产被朝鲜黑客组织Lazarus盗取。在追缴资产的同时，更为重要的是查明攻击路径，以避免类似事件再次发生。2月27日，Bybit发布了一份详细的黑客取证报告，调查结果直指资金被盗是由于Safe基础设施存在漏洞所致。然而，Safe方面对这一指控并不完全认同，其声明中承认开发者设备被入侵，但将主要原因归咎于朝鲜黑客的高超手段和Bybit的操作失误。围绕责任归属问题，双方各执一词，引发了行业内关于基础设施信任、安全范式与人性博弈的广泛讨论。

攻击源于Safe{Wallet}前端云服务被攻破

根据Bybit发布的两份调查报告（《Bybit事件初步报告》和《Bybit临时调查报告》），对Safe{Wallet}资源的进一步分析发现了两个在2025年2月19日拍摄的JavaScript资源快照。这些快照的审查显示，第一个快照包含原始且合法的Safe{Wallet}代码，而第二个快照则包含了带有恶意JavaScript代码的资源。这表明，创建恶意交易的代码直接来源于Safe{Wallet}的AWS基础设施。

报告得出结论：通过对Bybit签名者机器的调查以及Wayback Archive中发现的缓存恶意JavaScript有效载荷，可以强烈推断出Safe.Global的AWS S3或CloudFront账户/API密钥可能已泄露。

简单来说，此次攻击的源头是黑客通过攻击Safe{Wallet}开发者的设备，篡改了AWS S3存储桶中的前端JavaScript文件，并植入针对Bybit冷钱包地址的定向恶意代码。此前，Safe曾发布过一份简单的调查报告，声称未发现代码漏洞或供应链攻击，随后进行了全面审查并暂停了Safe{Wallet}功能。然而，最新的调查结果似乎推翻了Safe之前的结论。

Safe避重就轻声明引发更多质疑

截至目前，Bybit尚未明确表态Safe在本次事件中应承担何种责任。然而，社交媒体上在报告发布后掀起了对Safe安全漏洞的广泛讨论，部分声音认为Safe应对此负责并进行赔付。

Safe官方对这份报告的态度显然并不认可。在其官方声明中，Safe将责任划分为三个层面：技术方面，强调智能合约未受攻击，突出产品的安全性；运维方面，承认开发者设备被入侵导致AWS密钥泄露，但将其归因于朝鲜黑客组织的国家级攻击；用户方面，建议用户“签署交易时保持警惕”，暗示Bybit未充分验证交易数据。

然而，这一回应被认为有避重就轻之嫌。根据报告显示的流程，Safe在此过程中存在以下失责之处：

• 权限失控：攻击者通过入侵开发者设备获取AWS权限，暴露了Safe团队未实施最小权限原则的问题。例如，一名开发者即可直接修改生产环境代码，且缺乏代码变更监控机制。
• 前端安全失职：未启用SRI（子资源完整性验证）等基础防护措施。
• 供应链依赖风险：攻击路径（开发者设备→AWS→前端代码）证明Safe过度依赖中心化云服务，与区块链的去中心化安全理念相冲突。

此外，行业内对Safe的声明提出了诸多质疑。币安创始人CZ连续抛出5个技术性质疑（如开发者设备被入侵的具体方式、权限失控原因等），直指Safe声明的信息不透明性。Safe未公开攻击链细节，导致行业无法针对性防御。

代币逆势上涨，日活下降近七成

社区的另一大争议点在于Safe是否应该赔付Bybit本次事件的损失。一部分用户认为，Safe的基础设施漏洞导致了攻击，因此Safe应负责赔偿。更有甚者提议让Safe的前身公司Gnosis承担连带责任赔付损失。Safe最初作为Gnosis Safe于2017年由Gnosis团队开发，2022年从Gnosis生态中分拆独立运营。Gnosis曾在2017年完成25万枚ETH的ICO融资，目前财库仍有15万枚ETH，属于ETH巨鲸。

但也有人认为，本次事件的主要责任仍在Bybit自身。一方面，管理十几亿资产的冷钱包完全有必要投入研发力量，自研一系列安全基础设施；另一方面，Bybit似乎采用的是免费的Safe服务，并未支付订阅费，因此Safe从这个角度来看也没有义务承担责任。

值得注意的是，当事人Bybit在公布调查报告后，并未提出要求Safe进行财务上的补偿。

当行业还在争论责任归属时，资本市场却上演了一场荒诞戏码。Safe的官方代币似乎因此事件受到别样关注，2月27日SAFE代币从0.44美元逆势上涨至0.69美元，10小时内最大涨幅约58%。不过，从投资逻辑来看，该事件对Safe的品牌主要产生负面影响，上涨或许只是短期市场情绪使然。

2月27日数据显示，Safe的总管理资产超过1000亿美元，但其对漏洞细节的缄默正在动摇其作为行业基础设施的公信力。

在日活用户数据上，能够明显看到Safe在此事件后遭受了不小的冲击。相较2月12日的1200个日活地址数，该数据在2月27日下降至379个日活，降幅接近七成。

此外，前端的中心化风险曝光后，社区再次关注到前端的安全机制。ICP创始人Dominic Williams表示，朝鲜黑客组织近期成功盗取Bybit 15亿美元资金，主要是利用Safe{Wallet}的Web端漏洞，该界面托管在云端而非智能合约上。

Williams批评部分Web3项目仅在“伪链上”（fake onchain）运行，导致安全隐患，并建议使用ICP（Internet Computer）进行链上计算、数据存储和用户体验验证，以提升安全性。他提议Safe{Wallet}迁移至ICP，并采用加密认证机制及多方共识治理（如SNS DAO）来增强安全性。

回顾整个事件，看似是朝鲜黑客精心策划的一次孤立事件，但背后仍暴露出Safe目前多签钱包在权限设计和供应链方面存在的安全漏洞。从品牌发展的角度来看，为了刻意维护安全神话而急于撇清干系的做法适得其反，反而引发了舆论更多的质疑。或许，Safe能够及时承认失误之处并推出对应的改进举措，才能真正体现出加密安全领域巨头应有的态度。同时，尽早公布漏洞的细节，也能进一步帮助行业加强对类似漏洞的自查和防范。