冷钱包金身告破：朝鲜黑客制造史上最大规模加密货币劫案

一场导致全球加密货币市场暴跌的惊天劫案在上周五浮出水面。迪拜加密交易所Bybit遭遇的15亿美元以太坊资产失窃案，不仅刷新数字资产单次失窃金额纪录，更暴露出多重签名冷钱包这一"行业金标准"的系统性风险，以及网络安全防御体系中“人的因素”的重要性和脆弱性。

随着Safe等第三方审计机构排除基础设施漏洞可能性，事件真相逐渐浮出水面。

Bybit官网的最新通告指出，欺诈交易“被一种复杂的攻击所操纵，这种攻击改变了智能合约逻辑并掩盖了签名界面，使攻击者能够控制ETH冷钱包。”

Bybit首席执行官Ben Zhou在社交媒体上分享了Sygnia和Verichains的两项调查结论，认为此次攻击源自Safe{Wallet}的基础设施。安全生态系统基金会在一份声明中证实了他们的结论，该声明透露，此次攻击首先通过入侵Safe {Wallet}开发人员机器进行，这为威胁行为者提供了访问Bybit运营的账户的权限。

安全公司CheckPoint否认攻击者利用了任何智能合约漏洞，Check Point安全团队通过逆向工程还原攻击链条：黑客使用定制化恶意软件渗透多名高管设备，在用户界面层面对交易信息进行"偷梁换柱"。当授权人员对"正常交易"进行数字签名时，实际执行的却是经过篡改的恶意指令。

CheckPoint在报告中指出：这次黑客攻击开创了加密安全领域的先例，它绕过了多重签名冷钱包，没有利用任何智能合约漏洞。相反，它利用了人类的信任和用户界面欺骗：

• 如果签名者受到威胁，多重签名就不再是一种安全保障。

• 如果攻击者可以操纵签名者所看到的内容，冷钱包就不会自动安全。

• 供应链和UI操纵攻击变得越来越复杂。

Bybit黑客攻击打破了长期以来对加密货币安全性的假设。无论您的智能合约逻辑或多重签名保护有多强，人为因素仍然是最薄弱的环节。这次攻击证明，用户界面操纵和社会工程可以绕过最安全的钱包。行业需要转向端到端预防，每笔交易都必须经过验证。

区块链安全机构Trail of Bits首席分析师Dan Guido指出，朝鲜黑客组织Lazarus早已掌握跨平台攻击能力，其开发的恶意软件可适配Windows、MacOS及主流钱包系统，通过钓鱼攻击、水坑攻击等方式渗透目标长达数月。

面对行业安全基石的动摇，Bybit在事件发生后紧急升级多重签名协议，引入实时交易监控系统。但安全专家认为，这仅仅是亡羊补牢。

Check Point和Trail of Bits指出，这一事件将加密货币安全带回最基本的原则：分段内部网络、采用纵深防御（包括多层次、交叉检测和防范机制）以及为类似场景做好准备。Bybit已迅速采取行动，与区块链法证专家合作追踪资金，并通过X上的帖子宣布加强多重签名协议和实时监控，承诺用户资产安全。

参考链接：

• https://www.elliptic.co/blog/bybit-hack-largest-in-history

• https://research.checkpoint.com/2025/the-bybit-incident-when-research-meets-reality/