2025年2月21日，注定成為加密貨幣世界驚心動魄的一天。

Bybit，這個日均交易量超過360億美元的加密貨幣交易所巨頭，突然遭遇了一場前所未有的黑客攻擊。

攻擊者巧妙地利用了智能合約的漏洞，篡改了交易邏輯，將Bybit冷錢包中的逾40萬枚以太坊（ETH）和stETH席卷而空。總資產損失超過15億美元（約合人民幣108億元）。

加密貨幣市場交易平臺Coinbase主管Conor Grogan表示，此次黑客事件為史上最大規模的盜竊事件，超越了伊拉克中央銀行盜竊案（約10億美元）。

安全機構確認，攻擊者為黑客組織Lazarus Group，該組織曾于2017年入侵韓國交易所盜取2億美元比特幣。

成立于2018年的Bybit是全球最大的加密貨幣交易所之一，日均交易量超過360億美元。據CoinMarketCap數據，Bybit在黑客事件發生前，平臺資產約為162億美元。這意味著被盜的以太幣相當于其總資產的約9%。

受此影響，2月22日凌晨，加密貨幣市場集體走跌。比特幣出現多次短時急跌，24小時內跌破95000美元/枚，最低探至94830.3美元/枚。最近24小時，全球超17萬人爆倉。

值得注意的是，這次黑客是對加密貨幣交易所的攻擊，而非加密貨幣本身。攻擊破壞了Bybit的冷錢包，這是一個為安全而設計的離線存儲系統。

一位業內人士認為，這個被盜的幣應該追不回來。他本人已經把幣取回來放自己錢包。區塊鏈分析公司Elliptic首席科學家湯姆·羅賓遜（Tom Robinson）在一封電子郵件中表示：“我們在軟件中標注了竊賊的地址，以防止這些資金通過任何其他交易所兌現。”

這場劫案的技術劇本堪稱黑客藝術的精心之作。攻擊者首先瞄準了Bybit引以為傲的多重簽名機制——這套需要多個密鑰持有者共同批準交易的系統，本應是冷錢包的堅固防線。

然而，黑客在簽名者的電腦中植入惡意程序，將正常的交易請求悄然替換為精心偽裝的“特洛伊木馬”。當操作員在Safe{Wallet}界面看到一筆常規的熱錢包充值指令時，屏幕上閃爍的“安全驗證通過”綠色標識，實則是黑客制造的系統壞死倒計時。

熱端設備的安全防護不足也是此次攻擊的一個重要方面。攻擊者進入Bybit操作員的設備，并篡改了Safe{Wallet}前端界面。導致操作員看到的界面與實際簽名內容不符。

這意味著，交易數據在到達硬件錢包之前就已經被篡改，而操作員在不知情的情況下批準了惡意合約升級。

當前大多數加密硬件錢包在處理復雜交易時的局限性也在這次事件中暴露無遺。由于解析能力不足，無法完整解析和顯示Safe{Wallet}等多重簽名錢包的詳細交易數據；驗證機制缺失，無法驗證簽名內容是否與前端顯示內容一致。使得操作員在使用硬件錢包進行簽名時，可能在不知情的情況下批準了惡意交易，存在盲簽隱患。

此外，智能合約邏輯可被篡改的問題同樣不容忽視。攻擊者通過DELEGATECALL指令在惡意合約中執行惡意代碼，修改了冷錢包的智能合約邏輯，從而獲得了對冷錢包的控制權，并將資金轉移至未知地址。

這表明，Bybit冷錢包所使用的智能合約存在多處嚴重的安全漏洞，其邏輯可被攻擊者利用和篡改。

智能合約作為區塊鏈技術的核心組件之一，其安全性直接關系到整個系統的穩定性。“道高一尺、魔高一丈”，當下區塊鏈技術遠不如我們預期得那么完美。

這讓人不禁想起2016年The DAO事件的幽靈重現。2016年6月17日，黑客利用The DAO智能合約中的重入攻擊漏洞，成功地從資金池中分離出360萬個以太坊，價值約6000萬美元。

攻擊者通過創建自己的合約，利用系統的匿名fallback函數，通過遞歸觸發DAO的splitDAO函數多次調用，巧妙地繞過了交易費用的扣除機制，將資金轉移至自己控制的賬戶。攻擊不僅讓以太坊價格暴跌30%，還引發了整個加密貨幣社區的軒然大波。

上述事件暴露的不僅是技術漏洞，更是加密貨幣世界深層的認知悖論。

中心化交易所的冷存儲系統本質上是披著去中心化外衣的傳統金庫。當私鑰管理依賴人類制定的流程，當多重簽名需要人工操作界面，再嚴密的加密技術都會在人性弱點前土崩瓦解。

就像The DAO事件中，攻擊者不過是利用了開發者對遞歸調用機制的認知盲區，而這次Bybit的失守，同樣源于冷錢包轉賬流程中某個未被察覺的邏輯陷阱。

在這場永無止境的安全攻防戰中，加密貨幣暴露出其與生俱來的結構性矛盾。私鑰體系將資產安全簡化為一串字符的保管，卻讓普通用戶陷入“要么記住N個助記詞，要么信任中心化機構”的囚徒困境；智能合約賦予代碼以法律效力，但任何細微漏洞都可能成為潘多拉魔盒的鑰匙；去中心化理想構建的信任機制，最終仍需依賴中心化交易所的儲備證明來維系。

當Bybit緊急調用過橋貸款時，當The DAO被迫啟動硬分叉時，這些本應被算法取代的人類干預，恰恰印證了區塊鏈烏托邦的現實困境——技術可以重構金融體系，卻無法消除人性貪婪；代碼能夠確保交易不可逆，卻不能阻止價值在漏洞中流失。

每次重大盜竊案后，行業都會掀起新一輪安全升級浪潮：硬件錢包銷量暴漲、去中心化交易所交易量激增、智能合約審計成為標配。但隨著Lazarus Group這樣的國家級黑客組織下場，量子計算開始威脅加密算法根基，這些修補措施顯得如此力不從心。

美國大學華盛頓法學院教授Hilary Allen 2024年的警告正在應驗：穩定幣（一種與美元、歐元等法定貨幣或其他穩定資產掛鉤的數字貨幣）需聯邦監管，以防金融風險。放松監管的狂歡終將付出代價，交易所冷錢包都能被攻破，那些存儲在熱錢包、質押在DeFi協議、流動在跨鏈橋中的資產，不過是黑客眼中的待宰羔羊。

或許，這場百億失竊案最深刻的啟示，在于揭示了加密貨幣的“原罪”。它既想掙脫傳統金融的監管枷鎖，又不得不構建更復雜的中心化堡壘；它用區塊鏈技術創造信任，卻因代碼漏洞不斷摧毀信任；它向往去中心化的自由，卻依賴中心化機構來維系系統穩定。

Bybit用戶排隊提現轉向硬件錢包，The DAO分叉的傷口仍在以太坊社區隱隱作痛，我們不得不承認：加密貨幣的安全困局，本質上是技術理想主義與人類社會欲望的永恒博弈。在這個博弈場上，沒有終極贏家，只有永不停歇的攻防戰——而每場戰役的代價，最終都由無數投資者用真金白銀來支付。

作者簡介

當你關注財經和時事熱點，我愿與你分享背后的故事和觀點