老高大談「Bybit竊案、北韓駭客」：交易地址亂碼很難辨識，要怪多簽人員沒確認

知名 YouTuber 老高昨日發布影片，對 Bybit 被盜事件進行剖析，指駭客透過社會工程學滲透 Bybit 的多簽機制，成功騙取三位簽署人的授權而得手，但這三位簽署人其實有辦法避免這起憾事發生，不過資安專家表示，老高的部分解讀可能有誤。
（前情提要：Bybit 被盜50萬枚ETH全洗白「成隱藏賣壓」？CEO發公告澄清：77%金流可追蹤）
（背景補充：Bybit CEO親述生死72小時：財務長抖顫地說損失41萬枚ETH、內部有個 P-1 緊急事件機制…）

加密貨幣交易所 Bybit 上月 21 日遭駭客攻擊，駭客從 Bybit 冷錢包竊走約 15 億美元的 ETH，成為歷來加密貨幣業最大規模竊案，北韓駭客組織「拉撒路集團」（Lazarus Group）被認為是這起駭客攻擊的幕後黑手。

老高談 Bybit 被盜事件

知名 YouTuber 老高昨日發布影片，對 Bybit 被盜事件及拉撒路集團進行剖析，指出 Bybit 的冷錢包採用多重簽名機制，即需三位負責人依序簽名才能解鎖資金，理論上極為安全。

然而，老高指出，駭客鎖定第一位簽署人，透過社交工程植入惡意軟體至其設備中，當該員工開啟交易介面時，看似無異狀，實則「這個銀行帳戶的介面是假的」，轉帳資訊已被修改，他在毫無察覺的情況下完成簽名，接著第二人、第三人也未察覺異狀就簽名，導致錢包被盜：

一旦有了三把鑰匙，這個錢包就歸你（駭客）了，你想怎麼取怎麼取。

老高表示，第三個簽名的是 Bybit 執行長 Ben Zhou，他簽名時，冷錢包上的螢幕顯示的資訊其實不像電腦能被駭，是駭不掉的，按理來說，如果他仔細查看這個小螢幕，可能就會發現異狀而不簽署，最終就不會被盜：

但是他為什麼沒有發現呢？這也不怪他，這也是虛擬貨幣的一個弊端，虛擬貨幣的帳戶是不記名的，不像我們一樣的帳戶，一個帳號，一個名字，這兩個都對上才行 是吧？看張三李四，一看就知道名字不對，就會發現問題了。

虛擬貨幣不記名，只有個帳號。而這個帳號又不是6位數字或者8位數字，而是一長串幾十位的亂碼數字，大家都差不多，所以要人一位一位地確認，長得一模一樣是不現實的。

而且，他經常這麼確認這個事情，所以不會懷疑這兩個號是不對的，然後就點了確認。結果，這最高負責人也點了確認，最後資金就轉出去了。如果這個事是AI確認的，問題可能就小一點。

資安專家指老高有誤解

不過資安專家向動區表示，老高說加密貨幣的弊端，就是地址是亂碼很難確認交易，Bybit 三個多簽的人，每個人都有檢查的機會，老高可能錯誤理解這件事情，防盜 SOP 都是檢查有沒有被歹徒塞入額外交易，然後讓簽署人不小心按到確認：

實際上問題是他們一開始簽進去的多簽介面就是假的，Ben Zhou在直播中有強調他們有經過確認，Ledger上面的數據也確認無誤（跟一開始發起的是一樣的），但還是被盜了，所以怎麼檢查也不會查到，即使有確認也沒用（因為數據什麼的都會跟第一個簽名的一樣）。

在冷錢包上驗證資訊你無法得知，你這筆交易是否與社會工程學駭入有關，這需要從一開始就要做防範，這也是第一次多簽錢包被利用的案例，不屬於只靠三人確認冷錢包資訊就能防範的範圍。

該專家指出， Bybit 被盜事件促使業界重新檢視資安防護標準，那就是多簽發起人在發起交易前，需要跑一遍乾淨裝置與排除社會工程學影響的 SOP，以加強防範措施，避免類似慘劇再次發生。

＊本篇文章也引來另一位資安專家 Huli 的精彩見解，更多請看他的臉書貼文。