資安專家余弦表示,看起來很像是北韓駭客的慣用手法,導致多簽錢包被駭。他也提供了先前 Radiant Capital 遭駭的案例,來解釋可能的被盜途徑。
Bybit 遭駭事件的可能攻擊途徑曝光
Bybit 近期遭駭,導致 ETH 冷錢包資金被竊。資安專家指出,此次駭客手法可能與 Radiant Capital 在 2024 年 10 月發生的 5000 萬美元駭客攻擊 類似,皆涉及多重簽名(Multisig)錢包的簽署介面遭操控,進而讓駭客獲取未授權資金轉移的權限。這類攻擊方式極為隱蔽,即使經過層層驗證仍難以察覺,對加密貨幣交易所與 DeFi 協議構成嚴峻挑戰。
攻擊模式:操控硬體錢包簽名過程
根據 Radiant Capital 事件分析,駭客主要透過以下手法執行攻擊:
- 感染開發者設備:駭客利用惡意軟體感染 Radiant Capital 的 三名核心開發者設備,進而影響多重簽名交易流程。
- 竄改前端顯示:當開發者使用 Gnosis Safe(現更名為 Safe) 來簽署交易時,駭客讓界面顯示正常的交易內容,但實際上傳送的是惡意交易請求。
- 誘導反覆簽名:駭客在前端模擬交易失敗的錯誤訊息,誘導開發者多次嘗試簽署,進一步收集必要的多重簽名授權。
- 最終竊取資金:當駭客獲得足夠的多簽授權後,便可執行轉移資產或更改智能合約擁有者,最終將資金轉移至駭客控制的地址。
這類攻擊難以察覺,因為駭客成功欺騙了前端驗證工具(如 Tenderly)與硬體錢包的簽署機制,使得交易簽署看起來毫無異常。
Bybit 可能遭遇相同手法攻擊?
Bybit 此次駭客事件與 Radiant Capital 的手法高度相似,尤其是簽署界面顯示正常,但實際底層邏輯被竄改。Bybit 透露,他們的 ETH 冷錢包在轉移資產至熱錢包的過程中,交易內容被駭客竄改,並最終導致資金被轉移至未知地址。這與 Radiant Capital 攻擊中,駭客操控 Safe顯示錯誤信息,讓開發者無意間簽署惡意交易的方式如出一轍。
此外,根據鏈上數據顯示,Bybit 遭駭後,約 14 億美元的 ETH 和 stETH 流出,其中部分資產已經開始變現,進一步證實這可能是一場高度計畫性且隱蔽的攻擊。
駭客如何成功繞過安全驗證?
這類攻擊的成功關鍵在於 「社交工程 + 簽名欺詐」,駭客透過以下方式繞過現有的安全機制:
- 多重簽名環境的錯誤利用:駭客在 Radiant Capital 事件中,利用 Safe 介面的錯誤提示,讓開發者不斷重複簽署交易,最終取得足夠的惡意簽名。Bybit 可能也遭遇類似情況,導致駭客獲取關鍵簽署權限。
- 硬體錢包的盲目簽署(Blind Signing):Radiant Capital 事件中,駭客成功讓開發者的 Ledger/Trezor 硬體錢包簽署惡意交易,而開發者在界面上看到的卻是正常交易內容。這表示,即使是 硬體錢包,也無法完全避免此類攻擊。
- 智能合約擁有權轉移:在 Radiant Capital 的案例中,駭客最終獲得 LendingPoolAddressesProvider(借貸池地址提供者)的擁有權,進一步對協議進行惡意操作。如果 Bybit 遭遇相似攻擊,駭客可能已經透過竄改智能合約擁有權,讓交易所難以追回資金。
如何防範類似攻擊?
專家建議,為了避免此類 高度隱蔽的多簽攻擊,交易所與 DeFi 專案應採取以下預防措施:
- 強化多層簽名驗證:如果任何簽名者在交易過程中遭遇錯誤或異常,應立即觸發緊急審查機制,而不是單純重新簽署。
- 獨立設備驗證:使用獨立的安全設備來確認交易數據,例如透過 Etherscan 的 Input Data Decoder 來檢查交易內容是否被篡改。
- 避免盲目簽名:所有關鍵交易應透過 Ledger/Trezor 等硬體錢包上的可讀數據顯示 來進行確認,避免盲簽(Blind Signing)。
- 錯誤觸發審計機制:如果某筆交易多次失敗,應立即進行完整審計,而非讓用戶重複嘗試簽署。
- 交易延遲與時間鎖(Timelock):對於重大交易,應實施 72 小時延遲,以便社群與開發團隊能夠有充足時間審查。
DeFi 安全性仍面臨重大挑戰
Bybit 遭駭事件突顯了多重簽名與硬體錢包簽署漏洞的風險,這類攻擊手法已經不是個案,Radiant Capital 事件就是最佳前車之鑑。即使使用了多重簽名、硬體錢包與交易模擬工具(如 Tenderly),駭客仍能成功欺騙系統並竊取巨額資金。
這也再次提醒所有 DeFi 專案與交易所,單純依賴技術工具已經不足夠,必須搭配更嚴格的人工審查與驗證機制。未來,交易所與 DeFi 協議必須更加謹慎,避免成為下一個攻擊目標。
這篇文章 Bybit 遭駭事件剖析:駭客手法與 Radiant Capital 攻擊模式相似? 最早出現於 鏈新聞 ABMedia。
