老高大谈「Bybit窃案、北韩骇客」：交易地址乱码很难辨识，要怪多签人员没确认

知名 YouTuber 老高昨日发布影片，对 Bybit 被盗事件进行剖析，指骇客透过社会工程学渗透 Bybit 的多签机制，成功骗取三位签署人的授权而得手，但这三位签署人其实有办法避免这起憾事发生，不过资安专家表示，老高的部分解读可能有误。
（前情提要：Bybit 被盗50万枚ETH全洗白「成隐藏卖压」？CEO发公告澄清：77%金流可追踪）
（背景补充：Bybit CEO亲述生死72小时：财务长抖颤地说损失41万枚ETH、内部有个 P-1 紧急事件机制…）

加密货币交易所 Bybit 上月 21 日遭骇客攻击，骇客从 Bybit 冷钱包窃走约 15 亿美元的 ETH，成为历来加密货币业最大规模窃案，北韩骇客组织「拉撒路集团」（Lazarus Group）被认为是这起骇客攻击的幕后黑手。

老高谈 Bybit 被盗事件

知名 YouTuber 老高昨日发布影片，对 Bybit 被盗事件及拉撒路集团进行剖析，指出 Bybit 的冷钱包采用多重签名机制，即需三位负责人依序签名才能解锁资金，理论上极为安全。

然而，老高指出，骇客锁定第一位签署人，透过社交工程植入恶意软体至其设备中，当该员工开启交易介面时，看似无异状，实则「这个银行帐户的介面是假的」，转帐资讯已被修改，他在毫无察觉的情况下完成签名，接着第二人、第三人也未察觉异状就签名，导致钱包被盗：

一旦有了三把钥匙，这个钱包就归你（骇客）了，你想怎么取怎么取。

老高表示，第三个签名的是 Bybit 执行长 Ben Zhou，他签名时，冷钱包上的萤幕显示的资讯其实不像电脑能被骇，是骇不掉的，按理来说，如果他仔细查看这个小萤幕，可能就会发现异状而不签署，最终就不会被盗：

但是他为什么没有发现呢？这也不怪他，这也是虚拟货币的一个弊端，虚拟货币的帐户是不记名的，不像我们一样的帐户，一个帐号，一个名字，这两个都对上才行 是吧？看张三李四，一看就知道名字不对，就会发现问题了。

虚拟货币不记名，只有个帐号。而这个帐号又不是6位数字或者8位数字，而是一长串几十位的乱码数字，大家都差不多，所以要人一位一位地确认，长得一模一样是不现实的。

而且，他经常这么确认这个事情，所以不会怀疑这两个号是不对的，然后就点了确认。结果，这最高负责人也点了确认，最后资金就转出去了。如果这个事是AI确认的，问题可能就小一点。

资安专家指老高有误解

不过资安专家向动区表示，老高说加密货币的弊端，就是地址是乱码很难确认交易，Bybit 三个多签的人，每个人都有检查的机会，老高可能错误理解这件事情，防盗 SOP 都是检查有没有被歹徒塞入额外交易，然后让签署人不小心按到确认：

实际上问题是他们一开始签进去的多签介面就是假的，Ben Zhou在直播中有强调他们有经过确认，Ledger上面的数据也确认无误（跟一开始发起的是一样的），但还是被盗了，所以怎么检查也不会查到，即使有确认也没用（因为数据什么的都会跟第一个签名的一样）。

在冷钱包上验证资讯你无法得知，你这笔交易是否与社会工程学骇入有关，这需要从一开始就要做防范，这也是第一次多签钱包被利用的案例，不属于只靠三人确认冷钱包资讯就能防范的范围。

该专家指出， Bybit 被盗事件促使业界重新检视资安防护标准，那就是多签发起人在发起交易前，需要跑一遍干净装置与排除社会工程学影响的 SOP，以加强防范措施，避免类似惨剧再次发生。

＊本篇文章也引来另一位资安专家 Huli 的精彩见解，更多请看他的脸书贴文。