ChainCatcher 消息,慢雾发文表示,2025 年 2 月 21 日, Bybit 的链上多签钱包遭定向攻破,近 15 亿美元资产通过一笔“合法签名”的交易悄然流失。事后链上分析显示,攻击者通过精密的社会工程攻击获取了多签权限,利用 Safe 合约的 delegatecall 功能植入恶意逻辑,最终绕过多重签名验证机制,将资金转移至匿名地址。“多重签名”不等于”绝对安全“,即便是 Safe 多签钱包这样的安全机制,如果缺乏额外的防护措施,仍然存在被攻破的风险。
Bybit 使用的是 v1 .1.1 (<1.3.0) 版本的 Safe 合约,这意味着他们无法使用 Guard 机制这一关键安全特性。如果 Bybit 升级到 1.3.0 或更高版本的 Safe 合约,并实现了合适的 Guard 机制,例如指定唯一接收资金的白名单地址,并进行严格的合约函数 ACL 验证,可能就能避免这次的损失。尽管这只是假设,但它为未来的资产安全管理提供了重要思路。
SAFE
The End
文章声明:以上内容(如有图片或视频亦包括在内)除非注明,否则均为谈天说币原创文章,转载或复制请以超链接形式并注明出处。