14 亿美金劫案背后的安全启示

撰文：Certik

CertiK 首席商务官 Jason Jiang 近日做客 Cointelegraph《The Agenda》播客，就 Bybit 事件深入探讨 Web3.0 安全。当 14 亿美元资产一夜蒸发，震惊的不只是行业，更是每一位关注数字财富安全的用户。这不仅是加密史上最大盗窃案，也暴露了在行业高速发展中潜藏的风险。

CertiK 作为区块链安全领域的领导者，从未停止过对这类威胁的剖析。在 Bybit 事件发生后，CertiK 迅速展开技术分析，指出「盲签」问题的存在。在对话中，Jason 解释了盲签产生的原因，建议用户至少三次核对交易地址。

当 THORChain 验证节点拒绝回滚交易，Jason 直言「我们如同身处西部荒野」，但也强调，唯有拥抱监管，Web3.0 行业才能迈向成熟。面对价值亿万的黑客攻击，区区 4000 美元的漏洞赏金显得微不足道，行业亟需正视安全投入的不足。毕竟，Web3.0 世界的黄金时代，不该是黑客的狂欢节。

Bybit 14 亿美元被盗后，CertiK 高管解读如何提升加密资产安全性

今年 2 月，Bybit 遭遇的黑客攻击在行业引发震荡。据报道，朝鲜黑客组织 Lazarus 集团从这家中心化交易所窃取了价值 14 亿美元的以太坊相关代币，使其成为有史以来损失最惨重的加密货币盗窃案。

此次黑客攻击的余波引发众多疑惑：问题出在哪里？自己的资金是否安全？应该采取哪些措施来防止此类事件再次发生？

根据区块链安全公司 CertiK 的数据，这起大规模盗窃案约占 2 月份全部损失的 92%。由于该事件的发生，导致 2 月加密货币总损失额较 1 月份激增近 1500%。

在 Cointelegraph 第 57 期《The Agenda》播客中，主持人 Jonathan DeYoung 和 Ray Salmond 与 CertiK 首席商务官 Jason Jiang 展开对话，详解 Bybit 黑客攻击的发生过程、此次漏洞利用造成的后果，以及用户和交易所可采取哪些措施保障加密货币安全。

Bybit 被盗事件后，加密钱包还安全吗？

简而言之，Jason 认为，Lazarus 集团之所以能够成功实施针对 Bybit 的大规模黑客攻击，是因为他们设法控制了全部签名者的设备——这三位签名者管理着 Bybit 正在使用的多重签名 SafeWallet。随后该组织诱骗他们签署了其认为是合法的恶意交易。

这是否意味着 SafeWallet 已不可信任？Jason 表示情况并非如此简单。「当 Safe 开发者的电脑被黑时，可能有更多信息从那台电脑泄露。但我认为对于个人用户而言，发生这种情况的可能性相当低。」

他表示普通用户可以通过几种方式大幅提升加密货币的安全性，包括将资产存储在冷钱包中，以及警惕社交媒体上潜在的钓鱼攻击。

当被问及 Ledger 或 Trezor 硬件钱包是否可能以类似方式被利用时，Jason 再次表示这对普通用户来说风险不大，只需要做好尽职调查并谨慎交易。

「这次事件发生的原因之一在于签名者在未看到完整地址的情况下盲目签署了交易指令，」他补充道，「一定要确保你发送的地址是你真正想要发送的地址，特别是涉及大额交易时，更应反复确认，再三核对」。

「我认为此次事件过后，整个行业会尝试进行自我纠正与改进，推动签名过程的透明化和易识别。当然，还有许多其他值得吸取的经验，但这无疑是其中之一。」

如何预防下一个数十亿美元规模的交易所黑客攻击？

Jason 指出，缺乏全面的监管和安全保障措施，可能是导致此次黑客事件持续发酵的因素之一。此前，跨链桥协议 THORChain 的一些验证节点拒绝回滚或阻止 Lazarus 集团利用该协议将盗取的资金转换为比特币，这进一步引发了业界对去中心化边界的讨论。

「欢迎来到西部荒野，」 Jason 说道，「这就是我们当前所处的现实。」

「在我们看来，如果加密货币想要蓬勃发展，就需要拥抱监管，」他认为，「为了更易于大众接受，需要主动靠近监管，并找到提升行业安全性的方法。」

Jason 对 Bybit 首席执行官 Ben Zhou 在事件发生后的应对措施表示赞赏，但他也指出，Bybit 在黑客事件发生前推出的漏洞赏金计划奖金只有 4000 美元。他表示，尽管大部分网络安全从业者并非单纯受金钱驱动，但提高漏洞赏金的金额仍然有助于交易所保持更高的安全性。

当被问到交易所和协议如何激励并留住顶尖人才以保障其系统安全时，Jason 指出，安全工程师不是总能获得应有的认可。

「很多人认为一级人才都流向了开发岗位，因为这个岗位能让他们获得最多回报，」他说道，「但这也关乎我们是否给予安全工程师足够的重视。他们承担着重大责任。」

「适当减轻他们的压力，并给予更多的认可与激励。无论是金钱奖励还是荣誉表彰，在我们力所能及的范围内给予合理回报。」