Bybit 遭駭事件剖析：駭客手法與 Radiant Capital 攻擊模式相似？

資安專家余弦表示，看起來很像是北韓駭客的慣用手法，導致多簽錢包被駭。他也提供了先前 Radiant Capital 遭駭的案例，來解釋可能的被盜途徑。

Table of Contents

Bybit 遭駭事件的可能攻擊途徑曝光

Bybit 近期遭駭，導致 ETH 冷錢包資金被竊。資安專家指出，此次駭客手法可能與 Radiant Capital 在 2024 年 10 月發生的 5000 萬美元駭客攻擊類似，皆涉及多重簽名（Multisig）錢包的簽署介面遭操控，進而讓駭客獲取未授權資金轉移的權限。這類攻擊方式極為隱蔽，即使經過層層驗證仍難以察覺，對加密貨幣交易所與 DeFi 協議構成嚴峻挑戰。

攻擊模式：操控硬體錢包簽名過程

根據 Radiant Capital 事件分析，駭客主要透過以下手法執行攻擊：

感染開發者設備：駭客利用惡意軟體感染 Radiant Capital 的三名核心開發者設備，進而影響多重簽名交易流程。
竄改前端顯示：當開發者使用 Gnosis Safe（現更名為 Safe） 來簽署交易時，駭客讓界面顯示正常的交易內容，但實際上傳送的是惡意交易請求。
誘導反覆簽名：駭客在前端模擬交易失敗的錯誤訊息，誘導開發者多次嘗試簽署，進一步收集必要的多重簽名授權。
最終竊取資金：當駭客獲得足夠的多簽授權後，便可執行轉移資產或更改智能合約擁有者，最終將資金轉移至駭客控制的地址。

這類攻擊難以察覺，因為駭客成功欺騙了前端驗證工具（如 Tenderly）與硬體錢包的簽署機制，使得交易簽署看起來毫無異常。

Bybit 可能遭遇相同手法攻擊？

Bybit 此次駭客事件與 Radiant Capital 的手法高度相似，尤其是簽署界面顯示正常，但實際底層邏輯被竄改。Bybit 透露，他們的 ETH 冷錢包在轉移資產至熱錢包的過程中，交易內容被駭客竄改，並最終導致資金被轉移至未知地址。這與 Radiant Capital 攻擊中，駭客操控 Safe顯示錯誤信息，讓開發者無意間簽署惡意交易的方式如出一轍。

此外，根據鏈上數據顯示，Bybit 遭駭後，約 14 億美元的 ETH 和 stETH 流出，其中部分資產已經開始變現，進一步證實這可能是一場高度計畫性且隱蔽的攻擊。

駭客如何成功繞過安全驗證？

這類攻擊的成功關鍵在於 「社交工程 + 簽名欺詐」，駭客透過以下方式繞過現有的安全機制：

多重簽名環境的錯誤利用：駭客在 Radiant Capital 事件中，利用 Safe 介面的錯誤提示，讓開發者不斷重複簽署交易，最終取得足夠的惡意簽名。Bybit 可能也遭遇類似情況，導致駭客獲取關鍵簽署權限。
硬體錢包的盲目簽署（Blind Signing）：Radiant Capital 事件中，駭客成功讓開發者的 Ledger/Trezor 硬體錢包簽署惡意交易，而開發者在界面上看到的卻是正常交易內容。這表示，即使是硬體錢包，也無法完全避免此類攻擊。
智能合約擁有權轉移：在 Radiant Capital 的案例中，駭客最終獲得 LendingPoolAddressesProvider（借貸池地址提供者）的擁有權，進一步對協議進行惡意操作。如果 Bybit 遭遇相似攻擊，駭客可能已經透過竄改智能合約擁有權，讓交易所難以追回資金。

如何防範類似攻擊？

專家建議，為了避免此類高度隱蔽的多簽攻擊，交易所與 DeFi 專案應採取以下預防措施：

強化多層簽名驗證：如果任何簽名者在交易過程中遭遇錯誤或異常，應立即觸發緊急審查機制，而不是單純重新簽署。
獨立設備驗證：使用獨立的安全設備來確認交易數據，例如透過 Etherscan 的 Input Data Decoder 來檢查交易內容是否被篡改。
避免盲目簽名：所有關鍵交易應透過 Ledger/Trezor 等硬體錢包上的可讀數據顯示 來進行確認，避免盲簽（Blind Signing）。
錯誤觸發審計機制：如果某筆交易多次失敗，應立即進行完整審計，而非讓用戶重複嘗試簽署。
交易延遲與時間鎖（Timelock）：對於重大交易，應實施 72 小時延遲，以便社群與開發團隊能夠有充足時間審查。

DeFi 安全性仍面臨重大挑戰

Bybit 遭駭事件突顯了多重簽名與硬體錢包簽署漏洞的風險，這類攻擊手法已經不是個案，Radiant Capital 事件就是最佳前車之鑑。即使使用了多重簽名、硬體錢包與交易模擬工具（如 Tenderly），駭客仍能成功欺騙系統並竊取巨額資金。

這也再次提醒所有 DeFi 專案與交易所，單純依賴技術工具已經不足夠，必須搭配更嚴格的人工審查與驗證機制。未來，交易所與 DeFi 協議必須更加謹慎，避免成為下一個攻擊目標。