2 月 22 日凌晨，加密社区突然传来头部交易平台 Bybit“热钱包”被窃 15 亿美金的惊悚传闻。稍加验证后发现是真的，随后该事件的详情随着加密社区中的安全审计团队和 Bybit 官方的披露慢慢浮出了水面。系 Bybit 一个多签钱包被黑客完全控制后搬空了其中约 15 亿美金的加密资产，其中主要是 ETH 和 stETH 等与 ETH 价值接近的流动性质押 Token。

Bybit 黑客钱包持仓截图

 01 
失窃的是冷钱包？

一开始传言中是热钱包被盗，因为联系到过去大多数黑客攻击对象都是热钱包，常态化的联网让热钱包暴露在不安全的环境里显得不那么安全。然而，经过确认，此次对象却是 Bybit 的一个冷钱包，系进行一次例行转账时出现问题导致的安全事件。

这是否意味着某些情况下，冷钱包也不是绝对的安全？

 02 
私钥没有丢失，多签合约代码也没有漏洞

事实上，根据复盘，Bybit 发现了真正的问题所在，他们的冷钱包使用的是 Safe 合约多签钱包，据悉 Safe 原名 Gnosis Safe，后更名为 Safe，迄今已在以太坊生态中保护了超过 1000 亿美元的资产。作为主打安全性的多签钱包和一贯的安全记录，许多项目方团队、Dao、交易平台等都采用了它们的多签方案。

在此次安全事件中，问题出在 Bybit 访问的 safe 网站或者移动客户端的前端上（用户操作访问交互的网页前台显示部分）。

简单的说，黑客篡改了 Bybit 团队发起多签的网页，Bybit 团队正常操作转账，但黑客实则替换了被签署的交易，让 Bybit 团队几个签名者签署了一份“卖身契”，成功把该多签合约钱包升级成了黑客准备好的恶意合约，也就是团队自己签的名，把这个钱包拱手送给了黑客。

所以，用于签名的硬件冷钱包私钥没有丢失同时 Safe 也未排查出多签合约的漏洞，它们都还是安全的，这本不属于加密行业的漏洞，本质上是传统互联网链路的漏洞。

 03 
手法高明、顶级黑客团队

前文提到黑客篡改了 Bybit 团队访问交互钱包的网页，但 Safe 排查在服务器端并未发现问题，那么大概率是黑客通过木马等途径早已潜伏在 Bybit 团队成员的电脑等相关设备当中，篡改手法有可能是 DNS、木马、浏览器插件的劫持，在某些条件下复杂程度和难度相对高，相关安全领域的 KOL 认为该黑客手法非常高明。

加密调查员 ZachXBT 和区块链分析公司 Arkham 目前认为，有证据表明这次攻击可能是由黑客组织 Lazarus Group 发起的，该组织疑似受到了某国政府的支持，以攻击加密资产平台而闻名。

社交平台上有人贴出了该黑客团队的惊人战绩：从 2017 年到 2025 年之间，先后从多个交易平台和加密项目中盗取了大量资金，比如从 Youbit 盗取 4000 枚 BTC 直接导致其申请破产、从 Kucoin 平台盗取 3 亿美金加密资产、从 Ronin 跨链桥盗取 6.2 亿美金加密资产等等，而本次被盗金额高达 15 亿美金之多，创造了历史记录。

 04 
没有砸盘，加密市场相对稳定

根据以往的经验，加密市场但凡是某些大平台出问题都会引发行情海啸，有时候就算只是涉及头部平台的谣言，都会令市场如履薄冰，然而此次 15 亿美金可谓是史上最大安全事故，却只出现小幅回调，目前看加密市场已经算是稳定的了。

之所以加密市场看起来稳定，主要还是很多人预期甚至谣传的黑客即将大幅砸盘这个事情并没有发生。黑客目前主要操作是把 stETH 等流动性 Token 这些 ERC20 换成原生 ETH。明显黑客比一般人专业得多，因为对于他们来说，ETH 在以太坊链上是最安全的，换成 USDT 或者 USDC 估计很快就会被冻结。

另外经过分析，该黑客组织处理加密资产非常有耐心，甚至还有很多多年以前盗取的加密资产都还没有处理完，主要还是因为现在加密交易平台越来越合规化，监管也趋于严格，加上链上的透明度，已经越来越难通过常规途径清洗。因此预期该组织短期内不会抛向市场（金额太大、风险太高，没有人能接），只能慢慢分批处理。

 05 
该平台一夜就妥善处理，没有深陷流动性危机

加密市场之所以稳定下来，还有一个原因可能就是 Bybit 经过一夜就进行了妥善的处理，其 X 上的中文官方账号最新公告称：“自从黑客事件发生（10 小时前），Bybit 经历了前所未有的提款请求数量。到目前为止，我们已收到超过 35 万个提款请求，剩余约 2100 个提现请求正在处理中。整体上，99.994% 的提现已经完成。”

按理说，此次事件堪比此前FTX 的流动性危机，一个坏消息可能会让平台无法继续运转甚至被拖死，但 Bybit 平台本身实力加上团队的妥善处理下似乎扭转了局势，Bybit 不仅没有深陷流动性“泥潭”，还获得了合作伙伴的“桥接贷款”，覆盖了 80% 被盗的 ETH，或者说已经解决了挤兑的问题，我们也看到有部分平台向 Bybit 钱包转入大量 stETH 的的报道。

事后加密行业多个平台创始人均表示会伸出援手，另外黑客的地址也将在这些 Bybit 的竞争对手平台中被标记屏蔽，全球同行和加密生态都将参与“围剿”相关地址。

 06 
回滚以太坊、删除黑客账户的谣言被当真

事件发生后，有人在 X 平台开玩笑或着是发谣言说:“Vitalik 宣布，ETH 基金会将于今晚进行投票决定是否进行链回滚或删除黑客持有的 ETH 供应。”

令人惊讶的是，针对这些明显的玩笑或者谣言，加密社区不少人把它当真了，认真对待并开始讨论这个话题。实际上现在的以太坊网络牵扯甚广，根本没办法回滚，也没有条件回滚，因为回滚意味着黑客攻击之后的交易记录全都被重置了，那样的话，从昨晚贝莱德这些的 ETH 现货 ETF 结算到所有 CEX 的提现都被撤回，成千上万的人遭受损失，记在谁的账上。

删除黑客账户更是无稽之谈了。

 07 
这么大的平台没有认真验证交易

或许是对冷钱包和多签的安全信心十足，Bybit 团队居然疏忽大意的签署了冷钱包的“卖身契”，这种事情原本是瞄一眼交易内容就可以完全被避免的事情。

这个事件给我们提供了不少教训：

1）加密资产钱包操作任何时候都一定要多多反复验证，包括不限于转账地址、签署信息等;

2）不要默认信任何第三方，包括操作系统、硬件钱包、软件钱包、多签钱包，不论它宣称多安全；

3）任何不可读的消息比如只有一段十六进制 (hex) 字符串的信息最好不要签名；

4）真正去搞懂钱包、加密的运行原理，这样才能结合自身日常操作做出安全的操作，捂好自己的钱包。

 08 
小结

不论如何，这件事告一段落，目前观察状态尚可，各方心态还算平和。但其影响肯定还没有结束，加密市场会紧盯着 Bybit 和黑客组织接下来的动态。

常在河边走，哪有不湿鞋？安全无小事，不是任何被黑客攻击后的事主都能顺利恢复，加密行业和黑客的斗争，还将持续。

END

推荐阅读
景顺分析师: 比特币牛市并未结束，2025 加密行业将再创新高
特朗普的比特币 / 加密政策被低估了吗？
以太坊和 Solana 哪个更像当年的 EOS？
为何本轮比特币牛市也如此艰难？还有机会吗？
大的来了！特朗普“团队”推动比特币战略储备近在眼前？

『声明：本文为作者独立观点，不代表白话区块链立场，本内容仅供广大加密爱好者科普学习和交流，不构成投资意见或建议，请理性看待，树立正确的理念，提高风险意识。文章版权和最终解释权归白话区块链所有。』

喜欢请点「在看」👇