站在Web3錢包產品經理視角詳細聊聊Bybit被盜事件

GuShiio.com鼔獅智能 資訊

唯一能相信的是科技,而不是“人”或“平臺”。

作者:嶽小魚

1、先用大白話解釋下Bybit怎麼被盜的:

Bybit用的是Safe多簽錢包,簽名設定是3/3,也就是需要三個人簽名才能完成交易,每個簽名者則用的是硬體冷錢包。

Safe這種老牌的多簽智慧合約已經經過了多年時間驗證,自身沒有問題的,而且再疊加簽名者用的是硬體冷錢包,私密金鑰物理隔離,私密金鑰不聯網,

多簽錢包+冷錢包可以說是現時最安全的錢包手段了。

但為什麼還會被盜呢?

駭客採用的是社會工程學攻擊。

科技上沒有辦法直接攻破,那就直接攻擊“ 人”。

駭客先入侵了三比特簽名者的電腦,然後在他們做日常操作(比如轉帳簽名)時,偷偷把簽名內容給換了。

簽名者以為自己在網頁上簽的是正常交易,但實際上駭客把內容替換成了“ 惡意簽名”, 比如把Safe合約陞級成一個他們早就準備好的惡意合約。

三個簽名者不知不覺簽了名,結果駭客用這個惡意合約把錢全提走了。

2、社會工程學攻擊到底是什麼?

社會工程學攻擊是一種攻擊成本非常高、攻擊手段非常複雜,但是也非常有效果的一種攻擊方式。

這一次攻擊事件中,交易所本身已經用上了安全係數最高的所有手段,多簽智慧合約,加上硬錢包設備,再加上線下嚴密的公司組織,但是最終還是無法防範這種社會工程學攻擊。

駭客直接定位了多簽的幾個簽名人,入侵簽名者的電腦是個更容易的突破口。

怎麼入侵工作人員的電腦呢?

具體手段包括發釣魚郵件、植入惡意軟件,或者利用簽名者個人的安全習慣漏洞(比如用弱密碼、沒開雙重驗證)。

一旦電腦被黑,駭客就能掌控工作人員的設備,篡改任意資訊。

社會工程學攻擊具備很强的隱蔽性,簽名者可能以為自己完成了日常工作,系統日誌裏記錄的也是“ 合約陞級” 這種合法操作,而不是明顯的“ 資金轉移”。

等到錢被提走,Bybit才反應過來,但已經晚了。

當然,社會工程學攻擊並非無法防範,需要一套嚴密的手段,而且要長期防護。

最好的手段就是强力管控企業內部人員的相關設備以及人員本身的行為異動,比如專用設備隔離使用、設備白名單和監控、定期檢查和更新等等。

3、Bybit被盜後續會怎麼樣呢?

第一,看Bybit有沒有能力扛住近期的用戶提幣擠兌,如果Bybit扛不住,就是又一個FTX,甚至直接將我們行業都拖入新一輪的熊市;

第二,看Bybit有沒有能力對被盜資金進行賠付,如果沒有能力賠付,直接宣告破產,同樣可能會將我們行業拖入熊市。

那Bybit當前資金狀況怎麼樣呢?

Bybit是全球第二大加密貨幣交易所,日均交易量能達到360億美元,用戶數超6000萬,。 這麼大的體量,賺錢能力肯定不差。

業內普遍估計,像Bybit這種頭部交易所,主要靠手續費、杠杆交易利息、理財產品分成等管道賺錢,
年淨利潤大概在15到50億美元之間浮動

再看看Bybit的資產規模。
被盜前,它的總儲備資產據說超160億美元。

這麼一比,15億的缺口占總資產的不到10%,不算致命傷。

而且Bybit的CEO Ben Zhou公開說過,客戶資產是1:1背書的,也就是說用戶資金有保障,被盜之後產生的資金缺口主要吃的是公司自己的利潤和儲備。

總之,可以分為三種情况:

最好情况:
擠兌穩住,Bybit用貸款和自有資產補齊剩下的窟窿,半年內恢復元氣。 市場信心回暖,行業繼續牛市節奏。

中間情况:
擠兌持續一段時間但不失控,Bybit得勒緊褲腰帶過日子,利潤少分幾年,慢慢填坑。 行業受點波及,ETH和山寨幣回檔,但不至於熊市。

最壞情况:
擠兌失控,Bybit撐不住破產,15億窟窿引爆信任危機,行業跟著凉半截,熊市提前到來。

4、對我們普通用戶的啟示是什麼?

很多人說:& ldquo; 小白用戶就不要自己掌握私密金鑰,不安全,不如把資金放在交易所更安全。& rdquo;

持續不斷的交易所被盜,就是對上面這種言論的有力駁斥。

不要迷信交易所的科技實力,也不要迷信交易所的安全性,其實交易所的潛在風險非常大。

為什麼說交易所的潛在風險更大呢?

這種中心化平臺最大的風險在於所有的用戶資產集中存放,其實就成為了一個集中被攻擊的大目標。

世界上沒有絕對安全的系統。 所有的系統都可能會被攻破,但是攻擊都是有成本的,所以就看你目標收益有多大了。

當攻擊的收益足够大,那麼攻擊的手段和成本也會被放大。

交易所就是一個顯著的大目標,交易所的錢包地址基本都是公開的,資金流也是公開的,那麼只要投入更多資源來進行攻擊,終究會有被攻破的一天。

那麼,我們唯一能相信的是科技,而不是“ 人” 或“ 平臺”。

所以,這裡還是要呼籲一下,我們普通用戶還是要盡可能使用去中心化錢包,自己掌握私密金鑰,或者更進一步,直接用無私密金鑰錢包。

Web3
世界就是一個黑暗森林,我們既是獵人也是獵物,每一步都要謹慎,只有這樣才能活得更久、走得更遠。

歡迎加入深潮TechFlow官方社群

Telegram訂閱群: https://www.gushiio.com/TechFlowDaily

Twitter官方帳號: https://www.gushiio.com/TechFlowPost

Twitter英文账号:https://www.gushiio.com/DeFlow_Intern

原文網址:https://zh.gushiio.com/zixun/3052.html

讚! (0)
GuShiio.com鼔獅智能GuShiio.com鼔獅智能
0
Previous 8小时前
Next 8小时前

相关推荐

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Save my name, email, and website in this browser for the next time I comment.