撰文：Frank，PANews

2025 年 2 月 21 日，加密货币交易所 Bybit 遭遇史诗级黑客攻击，价值 14.6 亿美元的资产被朝鲜黑客组织 Lazarus 盗走。追缴资产之余，更重要的是查明攻击路径，以避免新的攻击事件发生。2 月 27 日，Bybit 发布黑客取证报告，调查直指资金被盗因 Safe 基础设施漏洞导致。但似乎 Safe 对于这份指控并不愿接受。在声明中承认开发者被入侵，但把主要原因归咎于朝鲜黑客的高明手段和 Bybit 的操作失误。在谁的责任更大的讨论中上演「罗生门」，因此也引发了行业内对基础设施信任、安全范式与人性博弈中的大争论。

攻击源于 Safe{Wallet}前端云服务被攻击

根据 Bybit 发布的两份调查报告（Bybit 事件初步报告和 Bybit 临时调查报告）显示，对 Safe{Wallet}资源的进一步分析发现了两个在 2025 年 2 月 19 日拍摄的 JavaScript 资源快照。这些快照的审查显示，第一个快照包含了原始的、合法的 Safe{Wallet}代码，而第二个快照则包含了带有恶意 JavaScript 代码的资源。这表明，创建恶意交易的恶意代码直接来源于 Safe{Wallet}的 AWS 基础设施。

报告的结论显示：根据对 Bybit 的签名者机器的调查结果以及在 Wayback Archive 中发现的缓存恶意 JavaScript 有效载荷，我们强烈得出结论，Safe.Global 的 AWS S3 或 CloudFront 账户 /API 密钥可能已泄露。

简单总结来说，这次攻击事件当中最初的来源是黑客通过攻击 Safe{Wallet}开发者的设备，篡改了 AWS S3 存储桶中的前端 JavaScript 文件，植入针对 Bybit 冷钱包地址的定向恶意代码。先前，Safe 也曾发布过一个简单的调查报告，报告中声明未发现代码漏洞和恶意依赖（即供应链攻击），随后 Safe 进行了全面审查，并暂停了 Safe{Wallet} 功能。这次的调查结果似乎推翻了 Safe 之前的调查结果。

Safe 避重就轻声明引发更多质疑

Bybit 截至目前对 Safe 在本次事件当中应承担何种责任并未表态，但社交媒体上在报告发布后纷纷开始讨论 Safe 的安全漏洞问题并有一些声音认为，Safe 应该对此负责并作出赔付。

Safe 官方对于这份报告的态度显然并不认可。在其官方的声明当中，在官方声明中，Safe 将责任切割为三个层级：技术方面，强调智能合约未受攻击，强调产品的安全性。​运维方面，承认开发者设备被入侵导致 AWS 密钥泄露，但归咎于朝鲜黑客组织的国家级攻击。用户方面，建议用户「签署交易时保持警惕」，暗示 Bybit 未充分验证交易数据。

但这一回应却有避重就轻之嫌，根据报告显示的流程，Safe 在这个过程中存在以下几个失责之处：

• 权限失控：攻击者通过入侵开发者设备获取 AWS 权限，暴露 Safe 团队未实施最小权限原则。例如，一名开发者即可直接修改生产环境代码，且无代码变更监控机制。
• 前端安全失职：未启用 SRI（子资源完整性验证）等基础防护措施。
• 供应链依赖风险：攻击路径（开发者设备→AWS→前端代码）证明 Safe 过度依赖中心化云服务，与区块链的去中心化安全理念形成冲突。

此外，行业内对 Safe 的声明也提出诸多质疑，币安创始人 CZ 连续抛出 5 个技术性质疑（如开发者设备被入侵的具体方式、权限失控原因等），直指 Safe 声明的信息不透明性。Safe 未公开攻击链细节，导致行业无法针对性防御。

代币诡异上涨，日活下降近七成

社区的另一个大的争议点在于 Safe 是否应该赔付 Bybit 本次事件的损失。一部分用户认为是 Safe 的基础设施漏洞导致了攻击，Safe 应负责赔偿。更有甚者，提议让 Safe 的前身公司 Gnosis 承担连带责任赔付损失。Safe 最初是作为 Gnosis Safe 于 2017 年由 Gnosis 团队开发的多签协议，2022 年从 Gnosis 生态中分拆独立运营。Gnosis 曾在 2017 年完成了 25 万枚 ETH 的 ICO 融资，目前财库还有 15 万枚 ETH，属于 ETH 巨鲸。

但也有人认为，这次事件的主要责任还是在 Bybit 自身，一方面管理十几亿资产的冷钱包，完全有必要投入研发力量，自研一系列安全基础设施。另外一方面，Bybit 似乎采用的是免费的 Safe 服务，并未支付订阅费，因此 Safe 从这个角度来看也没有义务承担责任。

而当事人 Bybit 在公布调查报告后，并未提出要求 Safe 进行财务上的补偿。

当行业还在争论责任归属时，资本市场却上演着荒诞戏码。Safe 的官方代币似乎因此事件受到了别样的关注，2 月 27 日 SAFE 代币从 0.44 美元逆势上涨至 0.69 美元，10 小时的时间最大上涨约 58%。不过，从投资逻辑来说，该事件对 Safe 的品牌主要产生的还是负面影响，上涨或许只是短期的市场情绪使然。

2 月 27 日数据显示，Safe 的总管理资产超过 1000 亿美元，对漏洞细节的缄默，正在动摇其作为行业基础设施的公信力。

在日活用户数据上，能够明显看到 Safe 在此事件后遭受了不小的冲击，相较 2 月 12 日的 1200 日活地址数，该数据在 2 月 27 日下降至 379 个日活，下降接近 7 成。

此外，前端的中心化风险曝光后，社区也再次关注到前端的安全机制。ICP 创始人 Dominic Williams 称，朝鲜黑客组织近期成功盗取 Bybit 15 亿美元资金，主要是利用 Safe{Wallet}的 Web 端漏洞，该界面托管在云端而非智能合约上。

Williams 批评部分 Web3 项目仅在「伪链上」（fake onchain）运行，导致安全隐患，并建议使用 ICP（Internet Computer）进行链上计算、数据存储和用户体验验证，以提升安全性。他提议 Safe{Wallet}迁移至 ICP，并采用加密认证机制及多方共识治理（如 SNS DAO）来增强安全性。

回顾整个事件，看似是朝鲜黑客精心策划之下的孤立事件，但背后仍暴露出 Safe 目前多签钱包在权限设计、供应链方面存在的安全漏洞。而从品牌发展的角度来看，为了刻意维护安全神话而急于撇清干系的做法也适得其反，反而引发了舆论更多的质疑。或许，Safe 能够及时承认失误之处并推出对应的举措才更能体现出加密安全领域巨头的态度。同时，尽早公布漏洞的细节，也能进一步帮助行业加强对类似漏洞的自查和防范。