一、案件概述

2025年2月21日，据一位匿名的加密货币侦探 ZachXBT 披露，Bybit 平台官方钱包地址发生大规模资金流出，导致价值约14.4亿至15亿美元的以太坊(ETH)及相关衍生代币被盗。此次事件不仅刷新了加密货币历史上最大规模的单次被盗纪录，更引发了市场对中心化交易所安全性的广泛关注。对此，国投智能股份新金融安全事业部专家进行了深度分析。

二、攻击手法

事件发生后当晚，2025年2月21日23:44，Bybit CEO Ben Zhou 在 X 上发布声明，详细解释了此次攻击的技术细节：

由于Bybit交易所的大额ETH资产存放在safe多签冷钱包中，其核心基于智能合约开发，Safe多签钱包的代理合约设计中，允许管理员调用changeMasterCopy()(更换主逻辑合约)、upgradeTo()(升级逻辑合约)、setGuard()(修改交易守卫合约)等关键函数——这些函数是Safe为“合约升级、功能扩展”设计的合法接口，但被攻击者滥用。

我们经过综合分析梳理，认为黑客可能利用了「多签权限配置缺陷+社交工程+合约升级机制」的组合手段，可能劫持了Bybit用于资产管理的Safe钱包管理员权限以及前端系统，然后通过欺骗钱包管理员签署了一笔到Bybit交易所热钱包的交易，但是由于Safe冷钱包的智能合约事先被替换成恶意合约，最后这笔交易其实被构造成转到黑客钱包地址的交易，转走该冷钱包中的所有资产。具体步骤可能如下：

1.黑客对Bybit交易所的冷钱包资产管理人员(多签钱包的签名参与者)实施了社会工程学攻击，并密切监视其管理冷钱包的习惯，例如何时会向Bybit交易所热钱包转账以提供交易所热钱包的流动性；

2.可能劫持了 Bybit 用于资产管理的 Safe 钱包管理员权限以及前端系统。并提前部署恶意合约，以便随时替换safe合约；

3.当发现/预估冷钱包资产管理人员准备操作safe钱包向交易所热钱包转账的时候，则立即篡改safe钱包合约，然后劫持safe前端系统，修改后端交易数据(转账数额、目标地址)，但是Bybit资产管理人员在前端界面看起来是正常地向Bybit交易所热钱包转账，然后对交易签名，最后这笔交易其实是将冷钱包中的资产转到了黑客的钱包地址中。

在本次事件中，Safe合约没问题，问题在非合约部分，前端被篡改伪造达到欺骗效果，这种攻击手法工程化非常成熟。这个不是个案，朝鲜黑客去年就以此方式攻击了好几个平台：

• WazirX 损失2.3亿美元，为 Safe 多签；

• Radiant Capital 损失 5000万美元，为 Safe 多签；

• DMM Bitcoin 损失 3亿美元，为 Gonco 多签。

"链上追踪分析"等更多分析内容，可点击下方附件查看!

附件：Bybit 交易所资产安全事件解读