Bybit 15 亿美元加密货币被盗：一场精心策划的“无间道”式攻击

就在2 月 26 日，Bybit 和 Safe 先后发布安全公告，揭开了一起震撼整个加密货币行业的黑客攻击事件。Bybit 价值近 15 亿美元的加密资产被盗，而幕后黑手正是臭名昭著的Lazarus Group（朝鲜黑客组织）。这次攻击手法极其高明，黑客通过供应链攻击，精准控制 Safe{Wallet} 的前端代码，潜伏数天后伺机而动，成功诱导 Bybit 在毫不知情的情况下签署恶意交易，最终实现资金转移。

这起事件不仅是对加密行业的一次沉重打击，也再次暴露了多签钱包、供应链安全、前端代码完整性等方面的巨大漏洞。接下来，我们将详细拆解这场攻击的每一个环节，并探讨其带来的深远影响。

黑客是如何做到的？完整复盘 Bybit 遭遇的精准攻击

Bybit 和 Safe 在安全公告中披露了攻击的详细过程，从时间线来看，这是一场有组织、有预谋的攻击，黑客早在数天前就埋下了伏笔。

攻击时间线

• 2 月 19 日：黑客成功入侵 Safe{Wallet} 的 AWS S3 存储桶，并植入恶意代码，等待触发时机。
• 2 月 21 日：Bybit 执行多签交易，触发了恶意代码，使得交易内容被篡改，最终导致巨额资产被盗。
• 2 月 21 日（交易执行 2 分钟后）：黑客迅速删除 AWS S3 存储桶中的恶意代码，以掩盖攻击痕迹。
• 2 月 26 日：Bybit 和 Safe 发布安全调查报告，揭示攻击细节。

黑客采用的攻击手法

这次攻击的核心策略，是利用前端代码的篡改，精准欺骗 Bybit 运营团队，让他们在毫不知情的情况下签署了恶意交易。整个过程如下：

1. 黑客掌控 Safe{Wallet} 的前端代码

   • 他们先入侵 Safe{Wallet} 的开发者机器，获取 Safe{Wallet} 的代码修改权限。
   • 在 Safe{Wallet} 的 AWS S3 存储桶中，秘密植入篡改过的 JavaScript 文件，潜伏等待。

2. 前端代码暗藏玄机

   • 篡改的 JavaScript 文件只在特定情况下生效，专门针对 Bybit 的多签钱包和一个测试地址。
   • 当 Bybit 运营人员通过 Safe{Wallet} 界面签署交易时，前端显示的交易地址是正常的，但实际上后台交易数据已经被篡改。

3. Bybit 在不知情的情况下签署了恶意交易

   • 运营人员在 Safe{Wallet} 里看到的地址没问题，所以安心签署交易。
   • 但由于前端代码已被篡改，真实的交易内容已经变成了黑客设定的盗币交易。

4. 黑客迅速销毁痕迹

   • 交易执行完毕后，仅2 分钟，黑客就移除了 AWS S3 存储桶中的恶意代码，避免被追踪。
   • 这让 Bybit 和 Safe 在最初调查时，甚至都没发现任何异常。

Safe：我们的代码没问题，但黑客利用了供应链攻击

Safe 在调查公告中强调，他们的智能合约、前端代码并没有任何漏洞，黑客的成功完全归因于供应链攻击。换句话说，这次攻击的核心并不在于 Bybit 或 Safe 的技术有问题，而是黑客找到了最薄弱的环节：开发环境和前端代码的完整性。

https://t.co/9zhPMCmGbB

— Safe.eth (@safe) February 26, 2025

事件发生后，Safe 采取了以下补救措施：

• 重建和重新配置所有基础设施，防止黑客再次利用相同手段入侵。
• 轮换所有凭证，确保攻击者的权限彻底失效。
• 加强安全提醒，警告所有用户在签署交易前务必多重检查交易信息。

然而，这场攻击给 Safe{Wallet} 也带来了信誉危机。毕竟，用户选择多签钱包的目的，就是为了更安全的资产管理，而黑客却能通过前端代码篡改，让交易签署者在毫不知情的情况下“自愿”交出资产。这无疑让整个行业警觉：多签钱包真的安全吗？

FBI 确认 Lazarus Group 为幕后黑手

美国联邦调查局（FBI）迅速介入调查，并最终确认，这次攻击的幕后黑手正是朝鲜黑客组织Lazarus Group（又称 TraderTraitor）。该组织此前已多次针对加密货币交易所、DeFi 项目发起攻击，并成功窃取数十亿美元的加密资产，成为全球最危险的网络犯罪团伙之一。

Lazarus Group 这次采用的策略，与他们以往的攻击方式相比，更加精密和隐蔽。

• 以往，他们主要利用钓鱼邮件、恶意软件等方式窃取私钥或账号信息。
• 但这次，他们不直接攻击 Bybit，而是通过供应链攻击 Safe{Wallet}，进而影响 Bybit，使得 Bybit 在不知情的情况下，自己完成了资金转移。

这次攻击给行业带来的启示

这次 15 亿美元的盗窃案，不仅是对 Bybit 的沉重打击，也给整个加密行业敲响了警钟。它暴露了多个核心安全隐患：

1. 供应链攻击风险剧增

黑客不再直接攻击交易所，而是利用供应链的薄弱环节，影响用户的最终决策。开发环境的安全性，已成为新战场。

2. 多签钱包并非万无一失

传统观念认为“多签钱包比单签钱包更安全”，但这次事件证明，如果签署过程中存在安全隐患，多签也可能被黑客利用。

3. 前端代码完整性需要更严格的审查

前端代码一旦遭到篡改，用户根本无从察觉。这次攻击的关键点就在于：

• 黑客篡改了 Safe{Wallet} 的前端代码，而 Safe{Wallet} 并没有及时发现。
• 未来，加密钱包项目需要强化代码完整性检查，并引入更严格的前端监测机制。

4. 交易签署流程需要额外的安全验证

加密交易所和钱包提供商可以考虑：

• 使用独立的硬件钱包进行签署，避免依赖 Web 端签名。
• 引入链上交易可视化工具，让用户在签署前看到真实交易内容。

结语

这起事件不仅是加密行业史上最大规模的黑客攻击之一，更暴露了供应链攻击的可怕性。黑客的目标不再仅仅是攻破系统，而是利用“信任漏洞”，让受害者自己执行恶意操作。

在未来，加密行业必须加强供应链安全，建立更完善的交易签署验证机制，才能真正抵御此类高级攻击。毕竟，在这个数字世界里，安全，永远是最重要的底线。