币安——比特币、以太币以及竞争币等加密货币的交易平台(访问: hash.cyou 领取999USDT）

　　Bybit CEO BEN 发推表示，大约 1 小时前，Bybit ETH 多重签名冷钱包刚刚向我们的热钱包转账。看来这笔交易是伪造的，所有签名者都看到了伪造的 UI，其中显示了正确的地址，URL 来自 SAFE。然而签名信息是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们签名的特定 ETH 冷钱包，并将冷钱包中的所有 ETH 转移到这个未识别的地址。请放心，所有其他冷钱包都是安全的。所有提款都是正常的。我会随时向你们通报更多进展，如果有任何团队可以帮助我们追踪被盗资金，我们将不胜。Bybit 热钱包、温钱包和所有其他冷钱包都很好。唯一被黑客入侵的冷钱包是 ETH 冷钱包。所有提款均正常。

　　Bybit 官方推特表示，Bybit 检测到涉及我们其中一个 ETH 冷钱包的未经授权活动。事件发生时，我们的 ETH 多重签名冷钱包执行了向我们的热钱包的转账。不幸的是，这笔交易是通过一个复杂的攻击操纵的，该攻击掩盖了签名界面，显示正确的地址，同时更改了底层智能合约逻辑。因此，攻击者能够控制受影响的 ETH 冷钱包并将其资产转移到一个未识别的地址。我们的安全团队与领先的区块链取证专家和合作伙伴一起积极调查此事件。任何在区块链分析和资金追回方面具有专业知识并可以协助追踪这些资产的团队都欢迎与我们合作。我们想向我们的用户和合作伙伴保证，所有其他 Bybit 冷钱包都完全安全。所有客户资金都是安全的，我们的运营照常进行，不会中断。透明度和安全性仍然是我们的首要任务，我们将尽快提供更新。Bybit 表示，所有其他 Bybit 冷钱包都是安全的，客户资金不受影响且保持安全。我们了解当前形势导致提款请求激增。虽然如此高的数量可能会导致延迟，但所有提款都在正常处理中。Bybit 拥有足够的资产来弥补损失，其资产管理规模超过 200 亿美元，并将在必要时使用过桥贷款来确保用户资金的可用性。Coinbase 主管 Conor Grogan 发推表示，Binance 和 Bitget 刚刚将超过 50,000 枚 ETH 直接存入 Bybit 的冷钱包，其中 Bitget 的存款尤为引人注目，占该交易所所有 ETH 的四分之一。由于跳过了存款地址，这些资金显然是由 Bybit 自行协调的。Bybit CEO Ben Zhou 表示：感谢 Bitget 在此刻伸出援手， Binance 和其他几个合伙伙伴我们正在沟通，这笔资金跟币安官方没关系。Bitget CEO Gracy 表示，Bybit 是值得尊敬的竞争对手跟合作伙伴，这次的损失虽然很大，但也就是他们一年的利润，我相信客户资金是 100% 安全的，没必要恐慌和挤兑。此外 Gracy 表示借给 Bybit 的是 Bitget 自身的资产，不是用户的资产。

　　Dilation Effect 分析指出，相比前几次类似事件，Bybit 事件里只需要拿下一个签名者就可以完成这次攻击，因为攻击者用到了一个“社工”技巧。分析链上交易可以看到，攻击者通过 delegatecall 执行一个恶意合约的 transfer 函数，transfer 代码是用 SSTORE 指令修改 slot 0 的值，从而将 Bybit 冷钱包多签合约的实现地址变更成了攻击者地址。只需要搞定发起这笔多签交易的人/设备，后面的几个审核人员看到这个 transfer 时，会大大降低警惕。因为正常人看到 transfer 以为就是转账，谁知道竟然是在变更合约。

　　Chainlink 数据显示，在 Bybit 安全事件披露后，USDe 一度闪崩至 $0.965 后拉回至 $0.99。Bybit 集成了 USDe 可作为抵押资产来交易该交易所 UTA 中所有资产的永续合约。ethena_labs 发文称，他们已关注 Bybit 当前发生的情况，并将持续监控进展。所有支持 USDe 的现货资产均存放在场外托管解决方案中，包括与 Bybit 通过 Copper Clearloop 的合作。目前，没有现货资产存放在任何交易所。与 Bybit 对冲头寸相关的未实现 PNL 总额不到 3000 万美元，低于储备基金的一半。USDe 目前保持超过完全抵押，并会根据最新信息提供更新。

　　Safe 的安全团队回应称，正在与 Bybit 紧密合作，进行持续调查。目前尚未发现官方 Safe 前端被攻破的证据，但出于谨慎考虑，Safe Wallet 暂时暂停某些功能。慢雾余弦表示，类似此前 Radiant Capital 案例，可能也是遭到朝鲜黑客盗窃。Radiant Capital 表示，其 10 月份遭遇的一起价值 5000 万美元的攻击事件与朝鲜黑客组织有关，该事件涉及复杂的身份伪造和多层次的网络钓鱼攻击。攻击者冒充为前承包商，通过社会工程手段获取敏感凭证，从而入侵协议系统实施攻击。

　　安全分析师认为，这与 WazirX 和 Radiant 类似，签名者的计算机或中间接口遭到黑客攻击，此次黑客攻击的可能原因如下：黑客在签名者的计算机/浏览器中植入病毒，将交易替换为恶意交易，然后将其发送到硬件钱包。此病毒可能位于堆栈的任何部分（例如，恶意扩展、钱包通信……）- 安全接口遭到黑客攻击，它显示了一笔交易，但向钱包发送了另一笔交易最终结果是签名者在安全接口中看到了一笔无辜的交易，但实际上恶意交易被发送到了他们的钱包，在完整的事后分析出炉之前，我们无法确定。