CZ批评安全钱包关于Bybit Hack的验尸

币圈网报道：

前Binance首席执行官Changpeng Zhao（CZ）批评了Seaf Wallet对Bybit Hack的验尸更新，称其为“不太好”，并引起了人们对攻击者如何欺骗多个签名者的担忧。

他的评论遵循一份审计报告，指出违规是由安全基础设施而不是交易所系统的妥协造成的。

安全的回应

法医调查发现，受损的安全钱包证书导致了近15亿美元的bybit开发。加密钱包提供商在周三在X上的一份声明中证实了这些发现，并指出，该黑客攻击源于“受损的安全钱包开发人员”。

公司突出显示报告没有在其智能合约或前端源代码中确定漏洞。它还宣布已完全重建并重新配置其基础设施并改变了所有证书，以确保攻击向量被“完全消除”。

但是，CZ批评声明说：

“ Safe的更新并不是那么好。它使用模糊的语言来解决问题。阅读后，我的问题多于答案。”

他质疑“损害安全{Wallet}开发人员机器的意思是什么”，以及攻击是如何发生的，询问社会工程或病毒是否涉及。他还询问了开发人员如何访问BYBIT运营的帐户以及是否将代码直接部署到生产中。

关于攻击者如何绕过账本验证，是否涉及盲目签名或签名者是否无法正确验证，引起了进一步的担忧。

报告和更新

2月26日，拜比特发行Sygnia和Verichains进行了关于袭击的法医审计。审计显示，安全开发人员的凭据已被妥协，使黑客可以访问钱包的基础设施，这导致签名者被欺骗到批准了恶意交易。

根据该报告，该漏洞利用是使用“恶意JavaScript代码”进行的，这些“恶意JavaScript代码”两天前被注入了Seaf的Amazon Web服务系统。仅当交易来自特定的合同地址时，该脚本才激活，包括拜比特的多名合同以及涉嫌属于罪犯的另一个地址。

黑客入侵仅两分钟后，攻击者从安全系统中删除了恶意代码，并消失了。法医专家和该公司还确认，Bybit的基础设施没有受到损害。

自事件以来，Bybit有借从BITGET到40,000 ETH满足撤回要求，此后已偿还。该公司也有恢复它的储备通过贷款，资产购买和鲸鱼存款，获得446,870 ETH，价值12.3亿美元。首席执行官本·周（Ben Zhou）确认的该交易所现在有100％的客户资产支持。