Bybit遭黑事件剖析：黑客手法与Radiant Capital攻击模式相似？

资安专家余弦表示，看起来很像是黑客的惯用手法，导致Bybit 多签钱包被黑。他也提供了先前 Radiant Capital 遭黑的案例，来解释可能的被盗途径。

Bybit 遭黑事件的可能攻击途径曝光

Bybit 近期遭黑，导致 ETH 冷钱包资金被窃。资安专家指出，此次黑客手法可能与 Radiant Capital 在 2024 年 10 月发生的 5000 万美元黑客攻击 类似，皆涉及多重签名（Multisig）钱包的签署介面遭操控，进而让黑客获取未授权资金转移的权限。这类攻击方式极为隐蔽，即使经过层层验证仍难以察觉，对加密货币交易所与 DeFi 协议构成严峻挑战。

攻击模式：操控硬体钱包签名过程

根据 Radiant Capital 事件分析，黑客主要透过以下手法执行攻击：

1. 感染开发者设备：黑客利用恶意软体感染 Radiant Capital 的三名核心开发者设备，进而影响多重签名交易流程。
2. 窜改前端显示：当开发者使用 Gnosis Safe（现更名为 Safe） 来签署交易时，黑客让界面显示正常的交易内容，但实际上传送的是恶意交易请求。
3. 诱导反复签名：黑客在前端模拟交易失败的错误讯息，诱导开发者多次尝试签署，进一步收集必要的多重签名授权。
4. 最终窃取资金：当黑客获得足够的多签授权后，便可执行转移资产或更改智能合约拥有者，最终将资金转移至黑客控制的地址。

这类攻击难以察觉，因为黑客成功欺骗了前端验证工具（如 Tenderly）与硬体钱包的签署机制，使得交易签署看起来毫无异常。

Bybit 可能遭遇相同手法攻击？

Bybit 此次黑客事件与 Radiant Capital 的手法高度相似，尤其是签署界面显示正常，但实际底层逻辑被窜改。Bybit 透露，他们的 ETH 冷钱包在转移资产至热钱包的过程中，交易内容被黑客窜改，并最终导致资金被转移至未知地址。这与 Radiant Capital 攻击中，黑客操控 Safe显示错误信息，让开发者无意间签署恶意交易的方式如出一辙。

此外，根据链上数据显示，Bybit 遭黑后，约 14 亿美元的 ETH 和 stETH 流出，其中部分资产已经开始变现，进一步证实这可能是一场高度计划性且隐蔽的攻击。

黑客如何成功绕过安全验证？

这类攻击的成功关键在于 「社交工程 + 签名欺诈」，黑客透过以下方式绕过现有的安全机制：

如何防范类似攻击？

专家建议，为了避免此类高度隐蔽的多签攻击，交易所与 DeFi 专案应采取以下预防措施：

1. 强化多层签名验证：如果任何签名者在交易过程中遭遇错误或异常，应立即触发紧急审查机制，而不是单纯重新签署。
2. 独立设备验证：使用独立的安全设备来确认交易数据，例如透过 Etherscan 的 Input Data Decoder 来检查交易内容是否被篡改。
3. 避免盲目签名：所有关键交易应透过 Ledger/Trezor 等硬体钱包上的可读数据显示 来进行确认，避免盲签（Blind Signing）。
4. 错误触发审计机制：如果某笔交易多次失败，应立即进行完整审计，而非让用户重复尝试签署。
5. 交易延迟与时间锁（Timelock）：对于重大交易，应实施 72 小时延迟，以便社群与开发团队能够有充足时间审查。

DeFi 安全性仍面临重大挑战

Bybit 遭黑事件突显了多重签名与硬体钱包签署漏洞的风险，这类攻击手法已经不是个案，Radiant Capital 事件就是最佳前车之鉴。即使使用了多重签名、硬体钱包与交易模拟工具（如 Tenderly），黑客仍能成功欺骗系统并窃取巨额资金。

这也再次提醒所有 DeFi 专案与交易所，单纯依赖技术工具已经不足够，必须搭配更严格的人工审查与验证机制。未来，交易所与 DeFi 协议必须更加谨慎，避免成为下一个攻击目标。