原创 | Odaily星球日报（@OdailyChina）

作者 |Asher（@Asher_0210）

昨晚，Bybit 联合创始人兼首席执行官 Ben Zhou 在 X 平台发布由 Sygnia 和 Verichains 提供的黑客取证报告，其中披露资金被盗由 Safe 基础设施漏洞导致，此外恶意代码于 UTC 时间 2 月 19 日 15:29:25 被部署，特别针对 Bybit 的以太坊多签冷钱包。受此消息影响，SAFE 短时跌幅超 10%，价格从 0.5 美元开始下跌，短时跌破 0.44 美元。

接下来，Odaily星球日报为大家梳理对于Bybit指出 Safe有漏洞后，Safe团队的回应以及社区看法。

Safe项目简介

Safe 的前身名为Gnosis Safe，该项目最早时只是Gnosis 团队用户管理 ICO 资金的多签工具，但后来该团队决定将这一内部工具推广为公开服务。

随着项目自身的发展以及行业叙事的迭代（尤其是账户抽象概念的兴起），如今的 Safe 已不再是一个简单的多签工具，而是转型成为了模块化的智能合约账户基础设施，希望通过默认的智能合约账户来逐步取代当下主流的 EoA 账户，为加密货币的进一步普及打下基础。

Safe 公开的融资历史仅有一轮。2022 年 7 月，Safe 宣布完成1亿美元战略融资，1kx领投，Tiger Global、A&T Capital、Blockchain Capital、Digital Currency Group、IOSG Ventures、Greenfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superscrypt以及其他50家战略合作伙伴和行业专家等参投（当年的天之骄子阵容）。

Safe官方对Bybit 黑客取证报告的回应：合约和前端代码并无漏洞

对 Bybit 黑客取证报告的回应，Safe{Wallet} 团队在第一时间进行了详细调查，分析Lazarus Group 对 Bybit 发起的针对性攻击（Lazarus Group 也被称为“Guardians” 或 “Peace or Whois Team”，是一个由数量不明的人员组成的黑客组织，据称受朝鲜政府操控。虽然人们对该组织了解有限，但自2010年以来，研究人员已将多起网络攻击归咎于他们）。

开发者机器遭入侵导致Bybit资金被盗，合约和前端代码并无漏洞。团队调查确认，此次攻击并非通过Safe智能合约或前端代码漏洞实现，而是通过感染Safe{Wallet}开发者的机器，进而发起了伪装的恶意交易。外部安全专家的取证分析未发现系统或合约层面存在安全问题，这表明攻击的根本原因在于开发者机器的安全性漏洞。

在事件发生后，Safe{Wallet}采取了全面的应对措施，重建了所有基础设施，更新了凭证，并彻底消除了攻击媒介。目前，Safe{Wallet}已在以太坊主网上恢复正常运营，采用了分阶段推出的方式以确保系统安全。同时，Safe{Wallet}团队将继续推动交易可验证性，并致力于提升Web3的安全性和行业透明度。尽管Safe{Wallet}前端正常运营并采取了额外的安全防护措施，团队仍提醒用户在签署交易时需格外小心，保持高度警惕。

然而，Safe发布的事件报告并未得到广泛认同。报告中的模糊措辞被认为掩盖了核心问题，正如币安联合创始人CZ在X平台上所言，“虽然通常不批评其他行业参与者，但报告中多个问题未得到明确解释，读后留下的疑问反而比答案更多。”

Safe前端为什么被篡改仍需披露细节

“Safe 这个品牌目前只对得起智能合约部分。”慢雾余弦在 X 平台发文称，“Safe 最终还是被攻陷了，确实智能合约部分没问题（链上很容易验证），但前端被篡改伪造达到欺骗效果。至于为什么被篡改，等 Safe 官方的细节披露。”

“怕打草惊蛇，所以只守着Bybit这只大肥兔”。

Safe 算是一种安全基础设施，很多人都用了存在问题的版本，理论上所有用这个多签钱包的人都可能会类似 Bybit 这样被盗，但因不是 Bybit 所以没触发。因此，所有其它带前端、API 等用户交互服务的都可能会有这种风险，这也是一种经典的供应链攻击，或许巨额/大额资产的安全管理模型需要有一次大升级。

此外，社区成员指出，距离资方解锁只剩两个月，当前的负面影响使得Safe面临的时间压力愈加严重，未来是否能度过这个难关仍存不确定性。

小结

在这次事件中，Safe的漏洞暴露了 Web3 安全领域中的几个关键问题，给整个行业敲响了警钟。

首先，智能合约的复杂性管理至关重要，尤其是在像多签钱包这种功能复杂的应用中。虽然多签钱包的设计初衷是提高安全性，但复杂功能如delegatecall若管理不当，容易带来潜在的安全漏洞。因此，智能合约必须经过严格的审计和充分的测试，以确保没有漏洞被遗漏。

其次，前端验证的重要性不容忽视。黑客通过篡改前端界面实施攻击，造成用户资产的损失，这暴露了前端防篡改的薄弱环节。为了防范此类攻击，必须加强用户界面的验证机制，确保每个环节都能有效识别恶意伪装，避免用户在签署交易时被误导。

最后，完善的权限控制和实时风险扫描是防止类似事件再次发生的关键。缺乏细化的权限管理和实时监控系统，使得攻击者可以轻松突破防线并执行恶意操作。因此，在设计和实施智能合约时，必须引入多重确认机制，对高风险操作进行额外保护，并加强实时风险监控，以便及时识别并处理潜在威胁。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。