Bybit黑客：流量攔截和地址交換導致大規模加密貨幣盜竊？

Jacki

2025-04-08

襲擊是如何發生的

最大的加密貨幣盜竊案是以一種複雜的方式進行的：從訪問錢包到在數十個中介機構和去中心化賬戶中分配被盜資產。讓我們將整個事件分解為不同的階段，以了解攻擊者是如何入侵 Bybit 的：

1. Safe Wallet UI 漏洞

攻擊者選擇了最長但最有效的方式來訪問錢包。黑客沒有破解Bybit平臺本身，而是瞄準了其安全系統，即所謂的安全錢包應用程序。攻擊者如何在不被發現的情況下潛入保險箱有不同的理論：

🧿社會工程。典型的網絡釣魚甚至捕鯨攻擊可能是黑客使用的主要工具。通過欺騙 Bybit 員工洩露登錄憑據等必要信息，攻擊者獲得了對保險箱的完全合法訪問權限。在這種情況下，冒充平台高管的虛假電子郵件或包含惡意鏈接的消息是最常見的手段。而且由於Bybit安全人員也是人類，他們很可能會被引誘進入這樣的陷阱。

🧿SSL 剝離。安全套接字層 (SSL) 剝離是一種防止受害者的瀏覽器將不安全連接更改為安全連接的技術，從而讓攻擊者攔截所有流量。黑客通常通過互聯網服務提供商 (ISP) 網絡入侵，創建代理服務器來替換 ISP 提供的安全服務器。因此，毫無戒心的用戶經常瀏覽網絡，卻沒有意識到他們的連接不安全，從而洩露了他們的敏感信息。

🧿中間人攻擊。中間人 (MITM) 攻擊是一種安全漏洞，攻擊者秘密攔截併中繼相信彼此直接通信的兩方之間的通信。通過將自己定位在通信路徑中，攻擊者可以獲取敏感信息或更改實時傳輸的數據。在 Bybit 黑客攻擊的背景下，MITM 攻擊可能允許攻擊者攔截 Bybit 員工的登錄憑據以訪問安全錢包。

🧿域名系統和 BGP 劫持。DNS 劫持是一種攻擊者轉移或操縱 DNS 查詢的攻擊，導致用戶被路由到虛假或惡意網站而不是合法網站。通過篡改 DNS 基礎設施，攻擊者可能攔截了真正的安全服務器的流量，從而引導他們訪問該應用程序。至於 BGP 劫持，這是一種利用邊界網關協議中的缺陷通過攻擊者控制的網絡重新路由互聯網流量的攻擊。通過操縱路由公告，攻擊者可以攔截或更改傳輸中的數據，從而可能導致未經授權的訪問或盜竊敏感信息，例如訪問 Safe Wallet 所需的登錄憑據。

一旦攻擊者入侵了保險箱，他們就會用 JavaScript 代碼更改一些用戶界面 (UI) 命令，以實時修改交易。換句話說，黑客“重定向”了從冷錢包轉移加密貨幣的命令。加密貨幣沒有進入接收者的熱錢包，而是進入了屬於黑客的錢包。

但由於加密貨幣基於區塊鏈技術，所有支付都需要啟動智能合約簽署，攻擊者還必須克服一個障礙：智能合約邏輯。

2. 改變智能合約邏輯

智能合約的主要原則是確保交易在不受第三方乾擾的情況下在特定條件下進行。攻擊者通過注入命令將加密貨幣重定向到他們的錢包來干擾這一邏輯。通過這種方式，系統不會將這些交易視為未經授權的交易，因為它們嵌入在智能合約中。但攻擊者必須確保進行交易的人絕對確信他們正在進行合法付款，這就是黑客又做了一個伎倆的原因。

3、偽造簽名界面

攻擊者改變了簽名過程的“背景”，或者確認應該付款的信息。Sygnia 的法醫調查據透露，在攻擊之前，惡意 JavaScript 代碼通過其中一台 Amazon Web Services (AWS) 服務器被注入到 Safe Wallet 中。對保險箱代碼的這些更改讓黑客確信受害者會相信交易完全安全合法而轉移加密貨幣。儘管如此，攻擊者仍必須完成他們計劃的最後也是關鍵的階段：在不引起注意的情況下撤回被盜資金。

4. 竊取加密貨幣

攻擊者需要不留下任何黑客行為的痕跡，並洗錢被盜資金，這就是為什麼被盜加密貨幣分佈在數十個錢包中，並通過第三方鍊和去中心化錢包發送，以避免一筆交易完成可疑的大額轉賬。請看下圖，了解虛擬資產如何分散以掩蓋黑客的踪跡。

總體而言，整個攻擊是建立在偽造和掩蓋惡意行為的原則之上的，因此它們看起來像真實的行為，並且不會觸發任何Bybit安全警報。攻擊者並沒有試圖通過暴力攻擊來煮沸海洋，而是找到了一種微妙的方法，使他們能夠在不被注意的情況下進行行動。

儘管如此，網絡安全專家和加密貨幣愛好者對此次攻擊及其後果的看法確實存在分歧。讓我們把這些觀點放在顯微鏡下觀察。

專家和加密社區怎麼說

很難否認，歷史上最大的加密貨幣搶劫案在加密行業和社區中引起了巨大波瀾。關於此次攻擊的觀點和猜測各不相同，從對該平台安全措施的嚴格審查到陰謀論。

首先，我們需要關注專家的說法。 Sygnia 進行的同一取證調查證實，Bybit 自己的基礎設施根本沒有受到損害。相反，專家們承認，攻擊者通過 Safe Wallet 及其 AWS 服務器等相關服務發現了訪問後門。

這樣的結論確實看起來太明顯了，但專家們只是想強調一個事實，即Bybit自己的基礎設施仍然安全可靠。同時，攻擊源頭源於平台的外部基礎設施和可能以某種方式發生的人為錯誤。

儘管這種觀點確實成立，但加密社區對 Bybit 黑客事件有不同的看法。加密貨幣愛好者責備該公司認為額外的謹慎是不必要的，而且成本高昂，因此對風險管理過於嚴格。以下是加密貨幣社區針對此次攻擊表達的主要論點：

了解更多：如何保護計算機免遭黑客攻擊和盜竊

🤬簽名者盲目確認惡意交易。該平台顯然缺乏額外的加密安全層來保護多重簽名者免遭操縱。不用說，沒有最終的解決方案，但Bybit似乎根本不投資這種保護。 Bybit通常僅依賴於Safe Wallet，這使得整個安全系統容易受到攻擊，因為黑客沒有其他防禦牆可以通過。

🤬付款前沒有交易模擬。平台應該運行支付模擬，以確保智能合約安全合法。相反，付款是立即完成的，並激活了惡意算法。最重要的是，該平台似乎省略了智能合約的安全功能，該功能會通知交易聯繫人的更改。如果此功能到位，用戶將能夠識別出錢包中的可疑活動。

🤬Bybit 凍結提幣流程失敗。該平台只是讓巨額資金從鏈上被吸走，而他們卻有近24小時的時間來凍結所有可疑的大額交易。說到大額支付，我們需要提到的是，攻擊者非常關心將竊取的加密貨幣分割成更小的塊，因此這種說法並不真正相關。不管怎樣，Bybit 錯過了保存至少部分被盜加密貨幣的機會。

總而言之，加密貨幣所有者認為 Bybit 根本沒有採用更強大的安全防護措施來阻止此類攻擊。鑑於調查已經揭露了足夠多的妥協細節，社區的抱怨並不是那麼空洞。加上紮實的基礎批評關於該平台的安全實踐，加密社區內流傳著一些陰謀論。

陰謀論和謠言怎麼說

最著名的陰謀論推測，Bybit 模擬攻擊是為了拋售市場，轉而支持該平台希望從中受益的其他加密貨幣。但即使以太坊價值下跌了 10%，這種影射絕對不值得冒風險，無論是從財務角度還是從聲譽角度來看。

事實上，提款或將以太幣兌換成其他貨幣的增長是所有大型加密貨幣市場事件中典型的自然恐慌。人就是人，在最大的加密貨幣交易所之一遭受如此巨大的攻擊後，我們不能真正責怪他們擔心自己的積蓄。

在這種情況下，無論您是否同意上述觀點，都會產生您的儲蓄安全問題。您希望您的加密貨幣安全，但如何保護自己？繼續閱讀，我們將為您提供一些可行的技巧。

如何保證您的加密貨幣安全

通過以下提示，您可以降低洩露個人信息和暴露您的加密錢包的風險：

🔐使用雙因素身份驗證（2FA）。添加盡可能多的身份驗證方法，使攻擊者極難訪問您的錢包。如果適用，請使用生物識別數據（例如指紋、面部/視網膜識別）進行身份驗證，因為這些數據幾乎不可能被竊取或偽造。

🔐隨時了解數據洩露和常見漏洞的最新信息。加密貨幣黑客攻擊時有發生，因此不要錯過有關大規模攻擊的新聞，及時提取資金或採取預防措施（例如密碼更新或添加額外的安全層）至關重要。

🔐手動驗證交易。手動驗證每筆交易並仔細檢查接收者信息。即使是用於安全加密交易的最可靠和自動化的安全工具，也不要輕信。

🔐使用 虛擬專用網絡 (VPN)。通過使用 VPN 應用程序，您可以通過其他人不可見的加密隧道路由所有互聯網流量，該隧道通向遠程服務器。這樣，由於您的 IP 地址被屏蔽，沒有人可以攔截您的敏感信息並識別您的真實位置。當您出國旅行或使用公共 WiFi 網絡進行快速交易時，使用 VPN 特別有用。不過，我們必須指出，使用免費 VPN 也不安全。他們通常缺乏必要的加密協議，並將您的個人信息出售給廣告商和營銷機構等第三方。

為了確保您的財務數據安全，請考慮嘗試 VeePN，這是一款用於加密貨幣交易的高級 VPN，提供廣泛的高級安全功能。請耐心等待我們詳細了解 VeePN 的優勢，讓您隨時隨地安全地購買加密貨幣。