新加坡时间 2025 年 2 月 21 日 22:13，Bybit 团队使用 Safe{Wallet} 的多签流程发起了一笔从冷钱包到温钱包的转账。尽管 CEO Ben 通过 Safe{Wallet} 验证了目标地址，但在最后使用 Ledger 进行确认时，由于 Ledger 仅显示合约交互参数，未能显示完整交易信息，致使攻击者有机可乘，成功窃取了 14 亿美元资产。

目前调查仍在进行中，初步怀疑存在以下两种攻击路径：

• Safe{Wallet} 基础设施被攻破（伪造 UI 显示虚假地址）

• 设备级劫持（交易地址被篡改）

Safe{Wallet} 否认发生安全漏洞，但该事件与近期让 Radiant Capital 损失 450 万美元的攻击存在相似之处，凸显了机构级钱包设计中的系统性风险。

Bybit 事件揭露了钱包架构中一个致命的漏洞：显示的交易意图与实际执行的操作之间存在巨大鸿沟。这一问题普遍存在于许多钱包系统中：

如果攻击者劫持了钱包的 UI 或后端，用户可能在不知情的情况下批准伪装成合法交易的恶意操作。

Bybit 事件暴露了生态系统兼容性中的关键缺陷：即便使用 Ledger 等安全设备，不同系统之间缺乏无缝集成，仍可能导致安全性受损。

在本次攻击中：

• Safe 的 UI 被篡改：攻击者操纵了显示的目标地址，使其看似合法。

• Ledger 的离线验证失效：作为最后一道防线，Ledger 未能有效执行「所见即所签」的验证机制。由于其与 Safe 的 UI 兼容性较差，Ledger 仅显示合约交互参数，而未友好显示交易信息，导致关键交易细节未被核实。

虽然基于智能合约的钱包方案（如 Safe{Wallet}）在密钥分片方面表现出色，但未能完全解决交易完整性验证的问题。这一事件强调了机构级钱包需要更高级的安全措施，以确保交易的真实性，并抵御高风险环境下的复杂攻击。采用多层安全解决方案应对日益精密的攻击手法显得尤为重要。

Safeheron 采用机构级多层安全架构 —— MPC（多方安全计算）+ TEE（可信执行环境）+ 策略引擎，从多个层面防止此类攻击：

在审批前拦截非白名单交易：

• 仅允许向白名单地址转账：Safeheron 的策略引擎允许机构仅限向预授权地址转账，确保非白名单交易在进入审批流程前即被自动拦截。

• 阈值规则：多层级审批、时间锁定及额度限制等机制可有效降低人为错误或内部威胁带来的风险。

保护白名单的真实性：

• 在 Safeheron 体系内，白名单地址的添加或修改必须经过多方共识，消除单点风险。

• TEE 实时篡改检测：一旦检测到未经授权的白名单变更，TEE 会立即触发警报，确保白名单始终保持安全。

• 交易数据的哈希、签名与验证全部在 Intel SGX 保护的 TEE 内部进行。

• 防篡改认证报告确保 UI 显示的数据（接收地址、金额）与链上执行结果完全一致，杜绝交易意图与实际执行的偏差。

Safeheron 的架构体系：
✅ 在策略层面拦截非白名单转账；
✅ 通过 TEE 检测并拒绝 UI/ 后端篡改；
✅ 要求多方共签，防止白名单被恶意更改。

Safeheron 从架构设计上确保机构级交易的安全性，有效抵御高风险环境下的复杂攻击。

Bybit 事件并非个例，而是对钱包设计的一次审判：

Safeheron 以机构级安全标准重新定义机构安全：

• 无单点故障层：MPC 密钥分片；TEE 确保所见即所签；策略机制严格执行安全规则。

• 零盲点：每一笔交易都经过密码学绑定，确保与人工验证的意图完全一致。

通过集成先进的密码学技术和去中心化治理，Safeheron 提供了一个全面的安全框架，解决内外部威胁，树立机构资产保护的新标准。

安全不只是一个技术功能，而是一种需要长期坚守的核心准则。在网络威胁日益复杂、多重攻击向量层出不穷的时代，保障数字资产的安全变得尤为关键。Safeheron 始终坚持零信任安全执行，不断优化技术与防护机制，为用户提供稳固可靠的资产安全防线。无论面对何种安全挑战，我们始终与您同行，守护每一笔交易的安全。

不要错过这次机会，了解如何抵御复杂的安全威胁：https://safeheron.com/security/