炒家损失了108亿 人类则失去了又一个乌托邦

2025年2月21日，注定成为加密货币世界惊心动魄的一天。

Bybit，这个日均交易量超过360亿美元的加密货币交易所巨头，突然遭遇了一场前所未有的黑客攻击。

攻击者巧妙地利用了智能合约的漏洞，篡改了交易逻辑，将Bybit冷钱包中的逾40万枚以太坊（ETH）和stETH席卷而空。总资产损失超过15亿美元（约合人民币108亿元）。

加密货币市场交易平台Coinbase主管Conor Grogan表示，此次黑客事件为史上最大规模的盗窃事件，超越了伊拉克中央银行盗窃案（约10亿美元）。

安全机构确认，攻击者为黑客组织Lazarus Group，该组织曾于2017年入侵韩国交易所盗取2亿美元比特币。

成立于2018年的Bybit是全球最大的加密货币交易所之一，日均交易量超过360亿美元。据CoinMarketCap数据，Bybit在黑客事件发生前，平台资产约为162亿美元。这意味着被盗的以太币相当于其总资产的约9%。

受此影响，2月22日凌晨，加密货币市场集体走跌。比特币出现多次短时急跌，24小时内跌破95000美元/枚，最低探至94830.3美元/枚。最近24小时，全球超17万人爆仓。

值得注意的是，这次黑客是对加密货币交易所的攻击，而非加密货币本身。攻击破坏了Bybit的冷钱包，这是一个为安全而设计的离线存储系统。

一位业内人士认为，这个被盗的币应该追不回来。他本人已经把币取回来放自己钱包。区块链分析公司Elliptic首席科学家汤姆·罗宾逊（Tom Robinson）在一封电子邮件中表示：“我们在软件中标注了窃贼的地址，以防止这些资金通过任何其他交易所兑现。”

这场劫案的技术剧本堪称黑客艺术的精心之作。攻击者首先瞄准了Bybit引以为傲的多重签名机制——这套需要多个密钥持有者共同批准交易的系统，本应是冷钱包的坚固防线。

然而，黑客在签名者的电脑中植入恶意程序，将正常的交易请求悄然替换为精心伪装的“特洛伊木马”。当操作员在Safe{Wallet}界面看到一笔常规的热钱包充值指令时，屏幕上闪烁的“安全验证通过”绿色标识，实则是黑客制造的系统坏死倒计时。

热端设备的安全防护不足也是此次攻击的一个重要方面。攻击者进入Bybit操作员的设备，并篡改了Safe{Wallet}前端界面。导致操作员看到的界面与实际签名内容不符。

这意味着，交易数据在到达硬件钱包之前就已经被篡改，而操作员在不知情的情况下批准了恶意合约升级。

当前大多数加密硬件钱包在处理复杂交易时的局限性也在这次事件中暴露无遗。由于解析能力不足，无法完整解析和显示Safe{Wallet}等多重签名钱包的详细交易数据；验证机制缺失，无法验证签名内容是否与前端显示内容一致。使得操作员在使用硬件钱包进行签名时，可能在不知情的情况下批准了恶意交易，存在盲签隐患。

此外，智能合约逻辑可被篡改的问题同样不容忽视。攻击者通过DELEGATECALL指令在恶意合约中执行恶意代码，修改了冷钱包的智能合约逻辑，从而获得了对冷钱包的控制权，并将资金转移至未知地址。

这表明，Bybit冷钱包所使用的智能合约存在多处严重的安全漏洞，其逻辑可被攻击者利用和篡改。

智能合约作为区块链技术的核心组件之一，其安全性直接关系到整个系统的稳定性。“道高一尺、魔高一丈”，当下区块链技术远不如我们预期得那么完美。

这让人不禁想起2016年The DAO事件的幽灵重现。2016年6月17日，黑客利用The DAO智能合约中的重入攻击漏洞，成功地从资金池中分离出360万个以太坊，价值约6000万美元。

攻击者通过创建自己的合约，利用系统的匿名fallback函数，通过递归触发DAO的splitDAO函数多次调用，巧妙地绕过了交易费用的扣除机制，将资金转移至自己控制的账户。攻击不仅让以太坊价格暴跌30%，还引发了整个加密货币社区的轩然大波。

上述事件暴露的不仅是技术漏洞，更是加密货币世界深层的认知悖论。

中心化交易所的冷存储系统本质上是披着去中心化外衣的传统金库。当私钥管理依赖人类制定的流程，当多重签名需要人工操作界面，再严密的加密技术都会在人性弱点前土崩瓦解。

就像The DAO事件中，攻击者不过是利用了开发者对递归调用机制的认知盲区，而这次Bybit的失守，同样源于冷钱包转账流程中某个未被察觉的逻辑陷阱。

在这场永无止境的安全攻防战中，加密货币暴露出其与生俱来的结构性矛盾。私钥体系将资产安全简化为一串字符的保管，却让普通用户陷入“要么记住N个助记词，要么信任中心化机构”的囚徒困境；智能合约赋予代码以法律效力，但任何细微漏洞都可能成为潘多拉魔盒的钥匙；去中心化理想构建的信任机制，最终仍需依赖中心化交易所的储备证明来维系。

当Bybit紧急调用过桥贷款时，当The DAO被迫启动硬分叉时，这些本应被算法取代的人类干预，恰恰印证了区块链乌托邦的现实困境——技术可以重构金融体系，却无法消除人性贪婪；代码能够确保交易不可逆，却不能阻止价值在漏洞中流失。

每次重大盗窃案后，行业都会掀起新一轮安全升级浪潮：硬件钱包销量暴涨、去中心化交易所交易量激增、智能合约审计成为标配。但随着Lazarus Group这样的国家级黑客组织下场，量子计算开始威胁加密算法根基，这些修补措施显得如此力不从心。

美国大学华盛顿法学院教授Hilary Allen 2024年的警告正在应验：稳定币（一种与美元、欧元等法定货币或其他稳定资产挂钩的数字货币）需联邦监管，以防金融风险。放松监管的狂欢终将付出代价，交易所冷钱包都能被攻破，那些存储在热钱包、质押在DeFi协议、流动在跨链桥中的资产，不过是黑客眼中的待宰羔羊。

或许，这场百亿失窃案最深刻的启示，在于揭示了加密货币的“原罪”。它既想挣脱传统金融的监管枷锁，又不得不构建更复杂的中心化堡垒；它用区块链技术创造信任，却因代码漏洞不断摧毁信任；它向往去中心化的自由，却依赖中心化机构来维系系统稳定。

Bybit用户排队提现转向硬件钱包，The DAO分叉的伤口仍在以太坊社区隐隐作痛，我们不得不承认：加密货币的安全困局，本质上是技术理想主义与人类社会欲望的永恒博弈。在这个博弈场上，没有终极赢家，只有永不停歇的攻防战——而每场战役的代价，最终都由无数投资者用真金白银来支付。

作者简介

当你关注财经和时事热点，我愿与你分享背后的故事和观点