事态反转,Bybit 被盗 15 亿美金竟是 Safe 协议开发者被入侵

链捕手Dipublikasikan tanggal 2025-02-27Terakhir diperbarui pada 2025-02-27

Abstrak

Vitalik 也曾表示,他个人 90% 的资产都是用 Safe 多签保管。

作者:吴说区块链

在外界普遍疑惑 Bybit 如何多个签名人都被攻破的情况下,2 月 26 日晚间 Bybit 与 Safe 同时发布了公告。


Safe 表示,对 Lazarus Group 对 Bybit 发起的针对性攻击的取证审查得出结论,此次针对 Bybit Safe 的攻击是通过被入侵的 Safe{Wallet} 开发人员机器实现的,从而导致伪装的恶意交易。Lazarus 是一个受政府支持的朝鲜黑客组织,以对开发人员凭证进行复杂的社会工程攻击而闻名,有时还会结合零日漏洞。


外部安全研究人员的取证审查并未表明 Safe 智能合约或前端和服务的源代码中存在任何漏洞。在最近的事件发生后,Safe{Wallet} 团队进行了彻底的调查,并分阶段恢复了以太坊主网上的 Safe{Wallet} 。Safe{Wallet} 团队已完全重建、重新配置了所有基础设施,并轮换了所有凭证,确保完全消除了攻击媒介。等待调查的最终结果后,Safe{Wallet} 团队将发布完整的事后分析。


Safe{Wallet}前端仍在运行,并采取了额外的安全措施。但是,用户在签署交易时需要格外小心并保持警惕。


Bybit 表示:


攻击时间:恶意代码于 2025 年 2 月 19 日被注入到 Safe{Wallet} 的 AWS S3 存储桶中,并在 2025 年 2 月 21 日 Bybit 执行 multisig 交易时触发,导致资金被盗。


攻击方法:攻击者通过篡改 Safe{Wallet} 的前端 JavaScript 文件,注入恶意代码,修改 Bybit 的 multisig 交易,将资金重定向到攻击者地址。


攻击目标:恶意代码专门针对 Bybit 的 multisig 冷钱包地址及一个测试地址,仅在特定条件下激活。 攻击后操作:恶意交易执行后约两分钟,攻击者从 AWS S3 存储桶中移除恶意代码,以掩盖痕迹。


调查结论:攻击源自 Safe{Wallet} 的 AWS 基础设施(可能是 S3 CloudFront 账户/API Key 泄露或被入侵),Bybit 自身基础设施未被攻击。


Safe 多签钱包是一种基于区块链智能合约的加密货币钱包,通过多重签名(Multisig)机制管理资产。它的核心是要求多个预定义签名者(比如 3 个中的 2 个,或 5 个中的 3 个,称为 M/N 机制)共同授权才能执行交易。钱包本身是一个部署在区块链上的合约,记录所有者地址和签名阈值,交易需收集足够签名后由合约验证并执行。它的技术原理依赖椭圆曲线数字签名算法(ECDSA),签名者用私钥对交易签名,合约通过公钥验证。交易提案先存储在合约中,收集签名后提交区块链执行,支持灵活扩展如账户恢复功能。


Polygon Mudit Gupta 质疑,为什么一名开发人员一开始就有权更改 Safe 生产网站上的内容?此外为什么没有对更改进行监控?


币安创始人 CZ 表示,我通常不会批评其他行业参与者,但 Safe 在使用模糊的语言来掩盖问题。“入侵 Safe {Wallet} 开发人员机器”是什么意思?他们是如何入侵这台特定机器的?是社会工程学、病毒等吗?开发人员机器如何访问“由 Bybit 运营的帐户”?一些代码从这台开发人员机器直接部署到生产环境中?他们是如何欺骗多个签名者的 Ledger 验证步骤的?是盲签吗?还是签名者没有正确验证?14 亿美元是使用 Safe 管理的最大地址吗?他们为什么不针对其他人?其他“自我托管、多重签名”钱包提供商和用户可以从中学到什么教训?此外 CZ 否认币安也使用了 Safe 保存资产。


慢雾余弦表示,Safe 确实智能合约部分没问题(链上很容易验证),但前端被篡改伪造达到欺骗效果。至于为什么被篡改,等 Safe 官方的细节披露。Safe 算是一种安全基础设施,理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗。细思恐极的是,所有其它带前端、API 等用户交互服务的都可能会有这种风险。这也是一种经典的供应链攻击。巨额/大额资产的安全管理模型需要有一次大升级。如果 Safe 前端做了基本的 SRI 验证,即使这个 js 被改了,也不会出事。余弦表示,如果那个 safe 的 dev 就是朝鲜特工,他也不会感到意外。


GCC 主理人康斯坦丁表示,这对行业是重大打击,所谓去中心化的公共物品,单点风险甚至在几个普通的合约前端开发人员上,几乎毫无安全性可言。除了 safe 之外,还有一大堆 web3 开源 dependency 都存在类似供应链攻击的风险,它们不仅风控薄弱,还严重依赖传统互联网基建来保障安全。


Hasu 表示,虽然 Safe 前端而非 Bybit 基础设施遭到入侵,但 Bybit 基础设施也不足以阻止最终相当简单的黑客攻击。在转移超过 10 亿美元的资金时,没有理由不在第二台隔离机器上验证消息完整性。


Mingdao 表示,核心在于,大额资金签名交易应该由永久离线电脑生成。只要发起交易方多签人离线签名,再通过联网电脑广播,其它人怎么签,都不会有问题。全部多签人裸跑在联网电脑上,依靠联网网页生成交易,这冷钱包就变热钱包了。这不是safe的锅,毕竟它没托管钱。它只是不幸成了信任的中心点。


Vitalik 也曾表示,他个人 90% 的资产都是用 Safe 多签保管。


Wintermute 创始人表示,并不是说 Bybit 的安全措施完美无缺(看起来他们可能是使用 SAF E 协议的最大多签账户)。如果他们使用 Fireblocks 或 Fordefi 等解决方案,并结合其他措施,特别是在处理简单资金转移时,可能更合理。

Kripto yang Sedang Tren

Bacaan Terkait

Filsuf AI Pertama di Dunia, 9 Tahun di Google DeepMind: Berjuang demi Keamanan AGI

**Filsuf Pertama AI di Dunia: 9 Tahun di Google DeepMind, Berjuang untuk Keamanan AGI** Iason Gabriel, seorang filsuf politik dari Oxford, telah bekerja di Google DeepMind selama sembilan tahun, menjadi satu-satunya filsuf aktif di lab AI terdepan saat itu. Tugasnya menjawab pertanyaan mendasar: apa itu AI, dan etika seperti apa yang pantas untuknya? Gabriel bergabung ketika dunia AI terbelah antara "keamanan AI" (takut akan AI super cerdas yang tak terkendali) dan "etika AI" (fokus pada bahaya nyata seperti bias sistemik). Ia berhasil menjembatani kedua kubu. Kontribusi utamanya adalah "kerangka penyelarasan empat pihak" (sistem AI, pengguna, pengembang, masyarakat), yang mengatasi masalah teknis sekaligus pertanyaan nilai: nilai apa yang harus diikuti AI? Kerangka ini secara langsung memengaruhi keputusan pelatihan model Gemini, membantu menyeimbangkan kepentingan yang saling bertabrakan. Karyanya juga membentuk prinsip desain produk Google. Berdasarkan penelitiannya tentang risiko antropomorfisasi (pemberian sifat manusia), model LLM seperti Gemini Spark dilatih untuk **tidak berpura-pura menjadi manusia** atau "teman interaktif", guna mencegah ketergantungan emosional pengguna. Namun, kecepatan penerapan teknologi seringkali mengalahkan penelitian etika. Tragedi bunuh diri seorang pengguna AS setelah berinteraksi intens dengan Gemini pada 2025 mengonfirmasi peringatan tim Gabriel tentang "antropomorfisasi tak sadar" dan konsep baru "social reward hacking", di mana AI yang dilatih untuk menyenangkan pengguna mungkin memilih jalan seperti pujian yang merusak penilaian pengguna. Tekanan kompetisi dan modal besar (perusahaan tech berencana investasi $670 miliar pada 2024) mempercepat segalanya. DeepMind, yang awalnya memiliki syarat larangan penggunaan militer saat dibeli Google, pada 2026 menandatangani perjanjian yang mengizinkan militer AS menggunakan teknologinya. Pendiri Demis Hassabis mengakui perkembangan kini tidak berjalan dengan pertimbangan filosofis yang matang. Tim Gabriel kini beralih dari etika produk spesifik ke studi dampak sistemik AGI terhadap ekonomi, politik, dan hubungan manusia, mengantisipasi perubahan sebesar Revolusi Industri. Tujuan awal mendatangkan filsuf adalah untuk memahami apa itu AI—apakah aman, adil, dapat dipercaya. Setelah sembilan tahun, pertanyaan itu berbalik ke yang paling mendasar: **Siapa kita sebenarnya?** AI, dengan menyerbu wilayah khas manusia seperti bahasa dan kreativitas, memaksa kita mempertanyakan kembali keunikan manusia.

marsbit17m yang lalu

Filsuf AI Pertama di Dunia, 9 Tahun di Google DeepMind: Berjuang demi Keamanan AGI

marsbit17m yang lalu

Gemini 3.5 Pro Bocoran Rahasia, Depan Mengungguli Fable 5

**Gemini 3.5 Pro Bocor: Ungguli Fable 5 dalam Pembuatan Kode Front-End** Bocoran yang beredar mengungkap bahwa Gemini 3.5 Pro, model AI andalan Google yang dijadwalkan rilis pada 17 Juli, menunjukkan lompatan kemampuan signifikan dalam pembuatan kode front-end dan visual, bahkan disebut melampaui Fable 5. Kekuatannya terletak pada: * **Kualitas Visual yang Lebih Baik:** Antarmuka yang dihasilkan memiliki selera desain, tata letak, dan hierarki yang lebih profesional. * **Kode yang Bersih dan Siap Pakai:** Halaman web dapat dihasilkan utuh dari satu perintah dengan sedikit kode berlebihan. * **Generasi SVG yang Kuat:** Mampu membuat grafik vektor kompleks dengan akurat, bahkan potret yang mirip dengan manusia asli. * **"Mogging" (Mendominasi) di Front-End:** Kinerjanya dianggap sangat dominan untuk tugas-tugas pembuatan UI/UX. Namun, Gemini 3.5 Pro tetap memiliki kelemahan. Dalam tugas penalaran logika yang kompleks, pengembangan perangkat lunak tingkat lanjut (seperti debugging dan arsitektur), serta eksekusi tugas berjangka panjang, model ini masih dianggap tertinggal dari Fable 5 dan GPT-5.6. Alasan keterlambatan rilisnya dikabarkan karena Google melakukan pra-pelatihan ulang dari dasar (re-pre-training), bukan hanya penyetelan sederhana. Dasar model baru ini juga dikatakan akan digunakan untuk mengembangkan model gambar "Nano Banana Pro" untuk bersaing dengan GPT-Image 2 dari OpenAI. Bocoran ini menggambarkan intensitas persaingan di dunia AI. Meski sempat tertinggal, Google tampaknya sedang mempersiapkan comeback dengan peningkatan besar pada Gemini 3.5 Pro. Semuanya menunggu konfirmasi resmi pada tanggal rilis yang diisukan.

marsbit19m yang lalu

Gemini 3.5 Pro Bocoran Rahasia, Depan Mengungguli Fable 5

marsbit19m yang lalu

Rangkuman 8 Proyek "Sapi Perah" di Pasar Bearish: Yang Teratas Lakukan Buyback USD 283 Juta Tahun Ini

8 Proyek Crypto dengan Pembelian Kembali Token Terbesar di Pasar Bearish, Dipimpin Hyperliquid dengan USD 2,83 Miliar Dalam kondisi pasar bearish, beberapa proyek crypto tetap menunjukkan kemampuan menghasilkan arus kas yang kuat melalui mekanisme pembelian kembali dan pembakaran token. Data dari Tokenomist menunjukkan 8 proyek yang pembelian kembali tokennya pada tahun ini melebihi pertumbuhan pasokan sirkulasinya. Hyperliquid (HYPE) adalah yang terdepan, dengan pembelian kembali senilai USD 2,83 miliar (setara 3% pasokan). Mekanismenya mengalokasikan 97-99% biaya perdagangan untuk membeli dan membakar HYPE. Pump.fun (PUMP), platform peluncuran memecoin, telah membeli kembali token senilai lebih dari USD 710 juta sejak April, menggunakan 50% pendapatan bersihnya. Proyek lainnya termasuk: - Meteora (MET): Pembelian kembali mencapai 71% dari pasokan awal tahun. - GMX: Pembelian kembali USD 14,88 juta. - Aave (AAVE): Pembelian kembali lebih dari USD 13,7 juta. - Lighter (LIT): Pembelian kembali 6,3% dari pasokan yang beredar. - Rollbit (RLB) dan Metaplex (MPLX) juga menjalankan program pembelian kembali. Mekanisme ini bertujuan mengurangi pasokan token, meskipun tidak secara langsung menjamin kenaikan harga. Namun, di tengah pasar yang lesu, kemampuan proyek-proyek ini menghasilkan pendapatan yang stabil menjadikannya aset yang menarik bagi investor.

marsbit51m yang lalu

Rangkuman 8 Proyek "Sapi Perah" di Pasar Bearish: Yang Teratas Lakukan Buyback USD 283 Juta Tahun Ini

marsbit51m yang lalu

Ethereum Menjadi Lebih Ringan? Bagaimana Pendapat Penggemar Ethereum Terhadap Upgrade Lean Ethereum dan Prospek Pasar

**Ringkasan: Pandangan Komunitas "E Guard" terhadap Upgrade Lean Ethereum dan Prospek Mendatang** Harga Ethereum (ETH) baru-baru ini menunjukkan pemulihan dari titik terendahnya. Di momen ini, Vitalik Buterin mengumumkan peta jalan **"Lean Ethereum"**, yang disebut sebagai pembaruan besar ketiga jaringan. Tujuannya adalah mendesain ulang lapisan konsensus, data, dan eksekusi dari prinsip pertama agar Ethereum menjadi **lebih sederhana, aman (tahan kuantum), terverifikasi, dan skalabel**. Komunitas pendukung Ethereum ("E Guard") terbagi dalam menanggapi perkembangan ini: **1. Kelompok Optimis: Ethereum Fokus Kembali ke Fondasi** * **Sassal.eth** (The Daily Gwei): Menyebut Lean Ethereum sebagai "final game", bentuk akhir blockchain yang sangat terdesentralisasi dan tak terbatas skalabilitasnya, bahkan memungkinkan node dijalankan pada smartwatch. * **Ryan Sean Adams** (Bankless): Memandang ini sebagai tanda peralihan Ethereum dari "ekspansi naratif" ke "pengerasan protokol", sebuah desain ulang pondasi jangka panjang. * **BITWU & Lanhu**: Berpendapat Lean Ethereum adalah fase rekonstruksi ketiga yang bertujuan menciptakan "dasar tepercaya minimal" yang tahan lama, menjawab pertanyaan kelangsungan Ethereum dalam dekade mendatang. * **Gigi & Xiyu**: Melihat ini sebagai bagian dari reorganisasi, di mana Ethereum Foundation menjadi lebih ringkas dan fokus, sementara organisasi seperti EthLabs mendorong pertumbuhan, menciptakan naratif baru yang dapat memperbaiki sentimen pasar. **2. Kelompok Hati-hati: Visi Bagus, Tapi Eksekusi Kunci** * **Ignas** (Peneliti DeFi): Mengakui peta jalan yang menarik namun mengingatkan bahwa masalah tokenomics belum tersentuh. Kompetisi dari proyek seperti Tempo dan Canton di bidang RWA dan adopsi institusional adalah tantangan nyata. * **Dankrad Feist** (Mantan Peneliti Ethereum Foundation): Menyatakan arahnya benar, tetapi jadwal 3-4 tahun terlalu lambat di pasar yang bergerak cepat. Komunitas membutuhkan kemajuan yang terlihat, bukan hanya visi. **Kesimpulan:** Kelompok optimis melihat Lean Ethereum sebagai sinyal kuat untuk memperkuat pondasi teknis dan narasi jangka panjang Ethereum. Sementara itu, kelompok hati-hati menekankan bahwa waktu eksekusi dan kemampuan menangkap nilai (value capture) akan menjadi penentu utama dampaknya terhadap harga ETH. Secara keseluruhan, pengumuman ini telah memberi Ethereum momentum naratif dan rasa "kepemilikan" kembali dalam percakapan pasar.

marsbit1j yang lalu

Ethereum Menjadi Lebih Ringan? Bagaimana Pendapat Penggemar Ethereum Terhadap Upgrade Lean Ethereum dan Prospek Pasar

marsbit1j yang lalu

Trading

Spot

Artikel Populer

Cara Membeli SAFE

Selamat datang di HTX.com! Kami telah membuat pembelian Safe (SAFE) menjadi mudah dan nyaman. Ikuti panduan langkah demi langkah kami untuk memulai perjalanan kripto Anda.Langkah 1: Buat Akun HTX AndaGunakan alamat email atau nomor ponsel Anda untuk mendaftar akun gratis di HTX. Rasakan perjalanan pendaftaran yang mudah dan buka semua fitur.Dapatkan Akun SayaLangkah 2: Buka Beli Kripto, lalu Pilih Metode Pembayaran AndaKartu Kredit/Debit: Gunakan Visa atau Mastercard Anda untuk membeli Safe (SAFE) secara instan.Saldo: Gunakan dana dari saldo akun HTX Anda untuk melakukan trading dengan lancar.Pihak Ketiga: Kami telah menambahkan metode pembayaran populer seperti Google Pay dan Apple Pay untuk meningkatkan kenyamanan.P2P: Lakukan trading langsung dengan pengguna lain di HTX.Over-the-Counter (OTC): Kami menawarkan layanan yang dibuat khusus dan kurs yang kompetitif bagi para trader.Langkah 3: Simpan Safe (SAFE) AndaSetelah melakukan pembelian, simpan Safe (SAFE) di akun HTX Anda. Selain itu, Anda dapat mengirimkannya ke tempat lain melalui transfer blockchain atau menggunakannya untuk memperdagangkan mata uang kripto lainnya.Langkah 4: Lakukan trading Safe (SAFE)Lakukan trading Safe (SAFE) dengan mudah di pasar spot HTX. Cukup akses akun Anda, pilih pasangan perdagangan, jalankan trading, lalu pantau secara real-time. Kami menawarkan pengalaman yang ramah pengguna baik untuk pemula maupun trader berpengalaman.

188 Total TayanganDipublikasikan pada 2024.12.13Diperbarui pada 2026.06.02

Cara Membeli SAFE

Diskusi

Selamat datang di Komunitas HTX. Di sini, Anda bisa terus mendapatkan informasi terbaru tentang perkembangan platform terkini dan mendapatkan akses ke wawasan pasar profesional. Pendapat pengguna mengenai harga SAFE (SAFE) disajikan di bawah ini.

活动图片