2月22日凌晨，加密社区突然传来头部交易平台Bybit“热钱包”被窃15亿美金的惊悚传闻。稍加验证后发现是真的，随后该事件的详情随着加密社区中的安全审计团队和Bybit官方的披露慢慢浮出了水面。系Bybit一个多签钱包被黑客完全控制后搬空了其中约15亿美金的加密资产，其中主要是ETH和stETH等与ETH价值接近的流动性质押Token。

Bybit黑客钱包持仓截图

01
失窃的是冷钱包？

一开始传言中是热钱包被盗，因为联系到过去大多数黑客攻击对象都是热钱包，常态化的联网让热钱包暴露在不安全的环境里显得不那么安全。然而，经过确认，此次对象却是Bybit的一个冷钱包，系进行一次例行转账时出现问题导致的安全事件。

这是否意味着某些情况下，冷钱包也不是绝对的安全？

02
私钥没有丢失，多签合约代码也没有漏洞

事实上，根据复盘，Bybit发现了真正的问题所在，他们的冷钱包使用的是Safe合约多签钱包，据悉Safe原名Gnosis Safe，后更名为Safe，迄今已在以太坊生态中保护了超过1000亿美元的资产。作为主打安全性的多签钱包和一贯的安全记录，许多项目方团队、Dao、交易平台等都采用了它们的多签方案。

在此次安全事件中，问题出在Bybit访问的safe网站或者移动客户端的前端上（用户操作访问交互的网页前台显示部分）。

简单的说，黑客篡改了Bybit团队发起多签的网页，Bybit团队正常操作转账，但黑客实则替换了被签署的交易，让Bybit团队几个签名者签署了一份“卖身契”，成功把该多签合约钱包升级成了黑客准备好的恶意合约，也就是团队自己签的名，把这个钱包拱手送给了黑客。

所以，用于签名的硬件冷钱包私钥没有丢失同时Safe也未排查出多签合约的漏洞，它们都还是安全的，这本不属于加密行业的漏洞，本质上是传统互联网链路的漏洞。

03
手法高明、顶级黑客团队

前文提到黑客篡改了Bybit团队访问交互钱包的网页，但Safe排查在服务器端并未发现问题，那么大概率是黑客通过木马等途径早已潜伏在Bybit团队成员的电脑等相关设备当中，篡改手法有可能是DNS、木马、浏览器插件的劫持，在某些条件下复杂程度和难度相对高，相关安全领域的KOL认为该黑客手法非常高明。

加密调查员 ZachXBT 和区块链分析公司 Arkham 目前认为，有证据表明这次攻击可能是由黑客组织 Lazarus Group 发起的，该组织疑似受到了某国政府的支持，以攻击加密资产平台而闻名。

社交平台上有人贴出了该黑客团队的惊人战绩：从2017年到2025年之间，先后从多个交易平台和加密项目中盗取了大量资金，比如从Youbit盗取4000枚BTC直接导致其申请破产、从Kucoin平台盗取3亿美金加密资产、从Ronin跨链桥盗取6.2亿美金加密资产等等，而本次被盗金额高达15亿美金之多，创造了历史记录。

04
没有砸盘，加密市场相对稳定

根据以往的经验，加密市场但凡是某些大平台出问题都会引发行情海啸，有时候就算只是涉及头部平台的谣言，都会令市场如履薄冰，然而此次15亿美金可谓是史上最大安全事故，却只出现小幅回调，目前看加密市场已经算是稳定的了。

之所以加密市场看起来稳定，主要还是很多人预期甚至谣传的黑客即将大幅砸盘这个事情并没有发生。黑客目前主要操作是把stETH等流动性Token这些ERC20换成原生ETH。明显黑客比一般人专业得多，因为对于他们来说，ETH在以太坊链上是最安全的，换成USDT或者USDC估计很快就会被冻结。

另外经过分析，该黑客组织处理加密资产非常有耐心，甚至还有很多多年以前盗取的加密资产都还没有处理完，主要还是因为现在加密交易平台越来越合规化，监管也趋于严格，加上链上的透明度，已经越来越难通过常规途径清洗。因此预期该组织短期内不会抛向市场（金额太大、风险太高，没有人能接），只能慢慢分批处理。

05
该平台一夜就妥善处理，没有深陷流动性危机

加密市场之所以稳定下来，还有一个原因可能就是Bybit经过一夜就进行了妥善的处理，其X上的中文官方账号最新公告称：“自从黑客事件发生（10小时前），Bybit经历了前所未有的提款请求数量。到目前为止，我们已收到超过35万个提款请求，剩余约2100个提现请求正在处理中。整体上，99.994%的提现已经完成。”

按理说，此次事件堪比此前FTX的流动性危机，一个坏消息可能会让平台无法继续运转甚至被拖死，但Bybit平台本身实力加上团队的妥善处理下似乎扭转了局势，Bybit不仅没有深陷流动性“泥潭”，还获得了合作伙伴的“桥接贷款”，覆盖了80%被盗的ETH，或者说已经解决了挤兑的问题，我们也看到有部分平台向Bybit钱包转入大量stETH的的报道。

事后加密行业多个平台创始人均表示会伸出援手，另外黑客的地址也将在这些Bybit的竞争对手平台中被标记屏蔽，全球同行和加密生态都将参与“围剿”相关地址。

06
回滚以太坊、删除黑客账户的谣言被当真

事件发生后，有人在X平台开玩笑或着是发谣言说:“Vitalik 宣布，ETH 基金会将于今晚进行投票决定是否进行链回滚或删除黑客持有的 ETH供应。”

令人惊讶的是，针对这些明显的玩笑或者谣言，加密社区不少人把它当真了，认真对待并开始讨论这个话题。实际上现在的以太坊网络牵扯甚广，根本没办法回滚，也没有条件回滚，因为回滚意味着黑客攻击之后的交易记录全都被重置了，那样的话，从昨晚贝莱德这些的ETH现货ETF结算到所有CEX的提现都被撤回，成千上万的人遭受损失，记在谁的账上。

删除黑客账户更是无稽之谈了。

07
这么大的平台没有认真验证交易

或许是对冷钱包和多签的安全信心十足，Bybit团队居然疏忽大意的签署了冷钱包的“卖身契”，这种事情原本是瞄一眼交易内容就可以完全被避免的事情。

这个事件给我们提供了不少教训：

1）加密资产钱包操作任何时候都一定要多多反复验证，包括不限于转账地址、签署信息等;

2）不要默认信任何第三方，包括操作系统、硬件钱包、软件钱包、多签钱包，不论它宣称多安全；

3）任何不可读的消息比如只有一段十六进制(hex)字符串的信息最好不要签名；

4）真正去搞懂钱包、加密的运行原理，这样才能结合自身日常操作做出安全的操作，捂好自己的钱包。

08
小结

不论如何，这件事告一段落，目前观察状态尚可，各方心态还算平和。但其影响肯定还没有结束，加密市场会紧盯着Bybit和黑客组织接下来的动态。

常在河边走，哪有不湿鞋？安全无小事，不是任何被黑客攻击后的事主都能顺利恢复，加密行业和黑客的斗争，还将持续。