Bybit高管对话：详解15亿美元被盗事件始末与未来应对策略

原文编辑：吴说区块链

近期，加密货币领域发生了历史上最大规模的黑客攻击事件，涉及金额高达15亿美元。此次事件不仅成为人类历史上最大金额的盗窃案之一，也引发了行业内外的高度关注。吴说 Colin 对话 Bybit 高管 Shunyet Jan 和 CEO Ben Zhou，详细介绍了事件的发生过程、救援进展及未来的改进计划。

据初步调查，此次黑客攻击疑似由朝鲜黑客组织 Lazarus Group 所为。Bybit 在事件发生后迅速采取措施，优先开放散户提币，并借助 Bitget 等交易所及 OTC 服务商的流动性支持，在12小时内恢复了全面提币功能，解决了流动性危机。然而，被盗资金追回的可能性极低，公司正联合安全团队深入调查漏洞根源，涉及多签冷钱包供应商 Safe 的技术问题或潜在内部失误。

以下是对话内容整理：

被盗70%以太坊现货库存，已通过借贷等方式解除流动性危机

Colin：詹老师，大家最关心的一个情况是，目前 Bybit 的情况怎么样？对于你们而言，目前的流动性已经彻底完善了吗？还是说仍然存在一些流动性的缺口？

Shunyet：好的，我们当时被盗的只是我们的以太坊现货库存，大约占70%左右。因为很多客户在那段时间有需求，我们暂停了不少操作，根据客户级别分批允许提币。所以当时散户基本都能正常提币，只是以太坊无法提取。那段时间我们的库存确实不足，客户提不出来。为此，我们要感谢 Grace，以及 Bitget、抹茶等交易所，还有一些做市商，他们一起帮我们把库存逐步补齐。有些是通过借贷，有些是直接交换，但主要还是依靠桥接模式。后来，我们满足了所有客户的提币需求，大约12小时后全面开放，连机构客户也能提币。现在，我们的现货流动性已经没有问题了。

Colin：对，所以你们一开始的策略是优先开放散户提币，同时与机构客户进行沟通，是这样吧？不过现在已经完全开放了，对吗？

Shunyet：是的，现在已经完全开放了。

危机后如何恢复用户信任：透明化复盘、公开原因并强化安全措施

Colin：对于 Bybit 来说，之前 Grace 好像提到过，这次黑客盗走的资金大约相当于你们一年的利润。那么目前来看，从安全公司或其他机构的角度分析，这笔钱很可能是朝鲜黑客所为，而且追回的可能性不大，对吗？这个判断是不是相对确定的？

Shunyet：我们当然希望能追回来，但从 Lazarus Group 的历史来看，成功追回的案例非常少。我记得以前他们唯一被追回的部分，是他们提了一些币，比如 USDT 或 USDC，这些可以被冻结然后重新销毁。但 Lazarus Group 在早期可能会犯一些小错误，比如把资金存入小型交易所。那时候，Ben 和各交易所的领导关系很好，大家也都愿意帮忙冻结这些资产。可现在，我觉得 Lazarus Group 已经不会再犯这种低级错误了，所以追回的可能性确实非常低。

另外，我还看到很多人讨论，Lazarus Group 现在似乎是行业里第十四大以太坊持有者，有人提出是不是需要通过分叉（fork）来解决这个问题。因为一个被制裁的实体成为第十四大持有者，这看起来不太好。不过这不是我关注的重点，我们也在观察，但这种事情不是我们能决定的。

将联合外部团队追踪资金，回滚以太坊可能性低

Mirror：好，那我就继续问了。刚才詹老师提到这笔钱可能找不回来，但我看了社区的一些讨论和黑客的操作，觉得即使找不回来，黑客想完全拿走这笔钱的概率也不高。不过，我看到社区有人说黑客在对这些以太坊做一些自毁的操作，想请 Ben 老板确认一下。

Ben：我可以跟大家说一下我们现在在做的事。我们的安全团队已经联系了好几个外部合作伙伴，国内比较知名的慢雾也在配合我们进行全局追踪，包括和链上分析公司一起回溯当时发生了什么，试图弄清楚这次黑客事件到底是怎么发生的。到目前为止还没有定论，因为这次事件有几个可疑点跟以往不太一样。首先，它并不是我们的热钱包体系出了问题，而是我们用来存放多签冷签以太坊的供应商 Safe 出了状况。我们还不确定是他们的服务器有问题，还是我们每个签名的用户界面环节出了错。这是我们正在调查的第一个方向。至于你们提到的资金追踪，从我们角度看，这些以太坊要被洗出去没那么容易。我觉得这是一个漫长的过程，黑客会慢慢尝试各种洗钱手段。这次事件规模很大，但让我感到庆幸的是，整个行业非常团结，大家都在帮我们，我们很感激。

其实，只要黑客把资金转移到某个跨链桥，我们几乎能立刻定位到，然后请跨链桥协助冻结。所以这15亿美元要完全洗干净，我认为需要很长一个周期。其次，关于自毁，我们没看到任何迹象。他费那么大劲偷过去，为什么要自毁呢？

安全漏洞来源分析：内鬼、木马、Bybit 内部或 Safe 代码库漏洞？

Colin：还有一个点，现在虽然最终的安全报告还没出来，但有一种说法是你们好几个人的用户界面都被攻击了，会不会存在内鬼之类的情况？

Ben：对，我认为任何可能性都要逐一排除，目前还没完全排除。我们第一时间采取的是取证措施，把每个操作人员的电脑备份下来，记录所有当事人的操作环节，保留证据。这些资料后续会交给警方、外部安全协助方和我们内部调查团队使用。现在看下来，所有的操作跟以往相比没有太大区别。但诡异的是，我们的安全协议里有好几个必须检查的环节，比如 URL，这些我们都做了。

到今天为止，Safe 的多签系统是否还在冻结状态我不确定，他们可能也在调查。这件事他们也不敢立刻下结论，到底是他们的服务器被劫持然后影响到我们，还是我们每个人的电脑出了问题。而且，我们发现每个人都在不同地点、不同网络环境下，感觉很难被远程控制。各种可能性都有，但现在没办法确定排除哪一种，所以还在查。

问题讨论：资产保障、团队响应

Colin：还有一个问题，不知道 Bybit 方不方便回答：你们日常用于流动性或储备的自有资产大概是什么规模？像之前提到 Bybit 一年利润可能有15亿美元，但你们每年肯定会分红或用于其他开支，公司整体资产够填补这15亿美元的窟窿吗？

Ben：公司的资产绝对是大于这个数额的。我发过一条 Twitter，你们可以去看，我们的审计机构已经站出来说话了。这个审计机构审查过我们的财务和公司账户。我的 Twitter 上有一条消息，是 Hacken 他们帮我们做的审计。他们见过我们的资金账户，也就是 Treasury 账户。第一时间他们就表示愿意发声，但需要我们同意。当时我忙着，过了两三个小时后我说没问题，他们就发布了声明，证明他们审计过我们的 Treasury，确认我们的现金和代币储备完全可以覆盖这15亿美元的损失。

Ben 感谢行业支持，将持续优化安全与危机管理

Colin：Ben，我看网上不少人，特别是华语圈的项目方创始人，还有西方社区，大家都挺支持 Bybit 的。比如杜均、元杰他们也在把以太坊打回 Bybit 账户。你想不想对他们表示一下感谢？

Ben：对，我真的非常感谢。这次事件中，很多合作伙伴都站了出来，有的甚至随时待命。从钱包相关的，像 Fireblocks、Chainalysis，到其他团队——我现在有点记不清都有谁了，因为有些人直接联系我，有些找我们团队。总之，我们感受到整个行业在不同环节的支持，都在用各种方式帮我们。你刚刚提到的，国内知名的几个平台，比如 Bitget、抹茶、派网，都主动联系我们，直接提供了借贷支持。币安也联系过我们，我们还在沟通，但最后我们已经借到了足够的金额，就没再麻烦他们。还有其他交易所，我们的合作伙伴，以及各种网络和做市商，几乎都在提供协助。所以真的非常感谢。