CZ批评安全钱包对Bybit黑客事件的调查报告

前币安首席执行官赵长鹏（CZ）对Seaf Wallet针对Bybit黑客事件发布的调查更新提出批评，称其内容“不够清晰”，并引发了关于攻击者如何欺骗多名签名者的质疑。

他的评论是基于一份审计报告，该报告指出，此次安全漏洞源于安全基础设施的妥协，而非交易所系统本身的问题。

安全钱包的回应

法医调查发现，受损的安全钱包证书导致了近15亿美元的资金流失。加密钱包提供商在周三通过X平台发布声明，确认了这一发现，并指出黑客攻击源于“被攻破的安全钱包开发人员账户”。

公司强调，报告未在其智能合约或前端源代码中发现任何漏洞。同时，它宣布已完全重建和重新配置其基础设施，并更换了所有证书，以确保攻击路径被“彻底消除”。

然而，CZ对该声明提出了批评：

“Safe的更新并不令人满意。它使用了模糊的语言来描述问题。阅读后，我的疑问反而更多了。”

他质疑“‘损害安全钱包开发人员机器’的具体含义是什么”，以及攻击是如何发生的，是否涉及社会工程或恶意软件。他还询问开发人员是如何访问BYBIT运营账户的，以及是否将代码直接部署到生产环境中。

此外，关于攻击者如何绕过账本验证的问题，他进一步提出了盲签名是否被滥用，或者签名者是否未能正确验证交易。

审计报告与事件回顾

2月26日，Bybit发布了由Sygnia和Verichains进行的法医审计报告。报告显示，安全开发人员的凭据遭到泄露，使黑客得以访问钱包的基础设施，并欺骗签名者批准了恶意交易。

根据报告，攻击利用了“恶意JavaScript代码”，这些代码两天前被注入了Seaf的Amazon Web服务系统。该脚本仅在交易来自特定的合同地址时激活，其中包括Bybit的多个合同地址以及一个涉嫌属于犯罪分子的地址。

黑客入侵仅两分钟后，攻击者从安全系统中删除了恶意代码，并迅速消失。法医专家和该公司还确认，Bybit的基础设施并未受到损害。

自事件发生以来，Bybit已从Bitget借入40,000 ETH以满足用户的提款需求，并已偿还借款。该公司还通过贷款、资产购买和鲸鱼存款恢复了储备，获得了446,870 ETH（价值约12.3亿美元）。首席执行官Ben Zhou确认，该交易所目前已实现100%客户资产支持。