从Bybit骇客攻击事件看交易所安全：安全与合规如何引领平台健康发展？

北京时间2 月21 日晚间，链上侦探ZachXBT 监测到Bybit 发生14.6 亿美元的ETH 资金异常流出，其中mETH 和stETH 正在DEX 上被兑换为ETH。以金额计算，这可能成为加密货币史上最大的骇客攻击事件。

Bybit 迅速做出反应，第一时间在官方推特回应，表示「此次事件涉及ETH 多重签名冷钱包，攻击者利用智能合约逻辑漏洞操纵签名介面，使交易在表面上显示为正常转帐，但底层逻辑已被篡改，最终骇客成功控制了该冷钱包并提取资产。」问题随后，Bybit CEO 进行了两个小时的推特直播，与用户分享事件最新进展，并解答用户疑问。

随后，Bybit 交易平台在12 小时内共流入资金超过40 亿美元，尽管具体调查结果尚未公布，但多位安全专家推测，本次事件可能源于签署者电脑或中间介面遭到骇客攻击。骇客在等待多签执行人员进行日常签名时，悄悄篡改交易内容，使智能合约升级为带有后门的恶意合约，从而提取所有资金。

过去几年，数位资产交易资产被窃事件多次发生，通常集中表现为以下几种安全问题：

• 热钱包资产被窃：部分交易所热钱包储存比例过高，容易因漏洞攻击导致大额资产流失。
• 内部管理漏洞：部分交易所因管理不善，可能存在员工作恶或协助外部攻击的风险。
• 安全供应商不足：未与顶级安全服务商合作，导致未能及时发现和应对潜在威胁。
• 缺乏保险机制：极端事件发生后，由于缺乏保险覆盖，交易所难以弥补用户资产损失。 '

这次Bybit 事件并非热钱包被盗，其他资产未受影响，且提现服务始终正常运作。这显示问题并非源自内部管理或提现流程，而是骇客利用技术漏洞进行精准攻击。

交易所作为加密产业的核心基础设施，资产安全至关重要。骇客攻击不仅会造成巨额资金损失，还可能影响平台信誉，甚至动摇整个产业信任体系。如何建构一个全面、可靠的安全体系以保障用户资产，成为了每个合规交易所的关键任务。

在虚拟资产交易领域，安全体系建置正面临技术迭代与监管规范的双重驱动。产业观察显示，全球头部持牌交易平台普遍采用「冷热钱包分离+多重签章」的核心架构，透过多维度防控机制构筑安全防线：

资金隔离技术标准化：

• 系统级实体隔离：冷热钱包采用独立安全屋设置，专用电脑配备防侵入系统。热钱包伺服器仅处理用户订单需求，冷钱包设备则完全物理断网
• 动态配额管理：不同司法管辖区设定差异化的热钱包比例，例如香港监管热钱包2%，杜拜监管热钱包10%。
• 智慧风控触发：资金划转需透过订单需求智慧归集触发，杜绝人工干预可能

冷热转换系统银行级风控：

• 操作流程实施”三人四眼”机制，涵盖钱包管理、安全审计、财务监控等多部门协同
• 硬体层面冷热钱包分置独立安全屋，热钱包伺服器处理订单需求，冷钱包设备永久实体断网

持牌机构创新实践：

例如，Coinbase在资产管理上有着全球最严格的安全措施管控。该平台采取了多重签名技术，确保每一笔资金的转移都需要多个授权者的批准，从而降低单一帐户被攻破的风险。此外，Coinbase 也透过定期的安全审计和合规检查，确保平台的所有流程符合业界最佳实践，进一步增强使用者的信任。

类似的，HashKey global 则与Slowmist 合作，实现多重签章协定与冷储存系统的深度整合。 Slomist 自主研发的金钥分片管理系统，透过分散式签章验证机制，在维持实体隔离的冷钱包环境下，完成了金钥持有者的动态授权验证流程。这项技术突破使得冷钱包操作既满足实体隔绝要求，又能透过密钥分片实现权限分割。

加强资产保障：保险机制的创新

除了技术保障，保险机制也成为了加密交易所保障用户资产安全的重要手段。以Kraken 为例，平台与专业保险公司合作，为储存在平台上的资产提供保险保障。 Kraken 的保险涵盖了部分数位资产在储存过程中因骇客攻击或其他安全漏洞而导致的损失，尽管保险无法完全涵盖所有风险，但它为用户提供了一定的保障底线。

拥有香港保监局虚拟保险牌照的OneDegree 是业界重要的合作伙伴，与BitGo、HashKey Global 等头部平台合作，为用户资产提供全面的保险保障。保险涵盖极端事件，如地震等自然灾害或其他不可预见的风险，确保使用者资产安全。每年，交易所投入大量资金用于用户资产保险，不仅提升了平台的安全性，也增强了用户信任。

严格的合规性要求

合规性不仅是法律和监管的要求，更是交易所确保资金安全、提升用户信任的必要保障。作为持牌交易所，Coinbase 在合规性方面投入了大量资源，先后获得了美国多个州的转帐交易牌照（Money Transmitter License）以及欧洲的电子货币许可证。这些牌照的取得，不仅证明了平台的合规性，也为使用者提供了更强的保障。

Kraken 在合规方面也采取了类似措施。该平台已经在多个国家和地区获得了合法经营牌照，并在营运中严格遵守各项监管要求。透过与监管机构的紧密合作，Kraken 确保其业务活动符合当地的法律法规，避免了因合规问题而导致的安全风险。

合规与加密原生性并重

在合规与加密创新之间找到平衡，是交易所面临的最大挑战之一。例如，如果虚拟资产交易所要在欧洲展业必须先拿到MiCA 牌照。持牌主体需要严格遵守当地司法管辖区的要求，确保平台的合规运作。这样，平台的加密原生性也得到了保障，这使其能够更迅速地响应市场热点，打造创新产品，满足用户需求。

随着加密货币产业的不断发展，交易所的资产安全问题将愈发重要。交易所需要透过技术创新、严格的合规管理和保险机制，建构更全面的资产安全体系，同时保持平台的灵活性和市场回应能力，才能为用户提供了强而有力的保障，推动全球数位资产产业的健康发展。

,"",stripslashes(str_replace("/d/file/",$public_r['add_www_kaifadou_com_url']."/d/file/",stripslashes($navinfor['newstext']))))?>