以太坊的设计是否助长了 Bybit 黑客攻击？专家们意见不一

上周，Bybit 遭遇黑客攻击，损失高达 15 亿美元，这引发了加密货币社区的激烈讨论，一些业内人士认为，以太坊的设计可能在其中发挥了一定作用。朝鲜 Lazarus Group 策划了此次约 401,000 个以太币 (ETH) 被盗事件，这引发了人们的疑问：以太坊的复杂性是否使其生态系统特别容易受到复杂攻击，或者责任是否在于其他方面。

据报道，此次黑客攻击发生在从 Bybit 冷钱包到热钱包的标准转账过程中。根据该交易所在 X 上的官方声明，该交易“通过一种复杂的攻击进行操纵，该攻击掩盖了签名界面”，该界面显示了正确的地址，但改变了底层智能合约逻辑。这种操纵使攻击者能够夺取冷钱包的控制权，并将资金转移到私人地址。

加密领域的一些人提议回滚区块链以追回被盗资金，这与 2016 年DAO 黑客回滚类似。支持者认为这可以恢复信任并阻止未来的大规模攻击。然而，核心开发人员 Tim Beiko 很快驳斥了这种想法，称其“在技术上难以解决”，并警告说篡改账本可能会破坏区块链不变性的核心承诺。

以太坊是罪魁祸首吗？

有人对以太坊在此次攻击中扮演的角色表示担忧，其中包括 River Financial 创始人、斯坦福大学 CS251 加密货币课程前助教 Alexander Leishman。他表示，以太坊广阔的“攻击面”可能为攻击者的攻击提供了便利。

Leishman 通过 X 指出：“ETH 的攻击面非常大。很可怕。我很想看到有人能分析出到底发生了什么……ByBit 黑客事件让我想起了我在斯坦福大学担任加密货币课程 (CS251) 助教的时候。期末考试有一道题，要求学生在 ETH 合约中找出 8 个故意放置的漏洞。学生们找到了 15 个。”

他还将其与比特币更简单的 UTXO 模型进行了比较，解释说，在签署比特币交易时，人们只需验证状态转换，这通常在硬件钱包屏幕上清晰可见。相比之下，ETH 签名不仅可以包括资金转移，还可以包括调用复杂智能合约逻辑的命令。

他表示：“这绝对与以太坊有关 […] 在以太坊中，您要签署资金流动协议和发送智能合约的命令（这可能会导致进一步的资金流动）——这是一种非常容易出错的用户体验。ETH 交易并不代表状态转换，而是代表触发状态转换的命令。”

并非所有人都认为以太坊的固有设计值得审查。Fluent 的研究员 Toghrul Maharramov 坚称，该漏洞“与以太坊或 EVM 无关”，暗示这纯粹是与平台无关的黑客行为，而专注于区块链本身会分散人们对更切题的安全漏洞的注意力。

与此同时，独立 ETH 教育者、The Daily Gwei 创始人 Anthony Sassano 的反驳更为尖锐，他认为 Bybit 黑客攻击“与以太坊智能合约中的漏洞无关”。他否认以太坊架构与交易所被入侵之间存在任何关联，这反映出一种更广泛的观点，即真正的弱点在于 Bybit 的运营安全性和钱包管理实践。

Leishman 后来澄清说，他从未声称 Bybit 黑客攻击源于以太坊代码本身的直接错误。“哇，以太坊播客很敏感。我从来没有说过 Bybit 黑客攻击是智能合约错误的结果。我只是分享了一个有趣的轶事，关于以太坊的复杂性如何导致难以发现的安全问题，”他写道。

相反，他的核心论点围绕着当涉及以太坊智能合约时，验证交易最终影响的难度。Bybit 黑客攻击是以太坊“智能”合约模型的结果，这使得验证多重签名合约中签名交易将触发的状态转换变得非常困难。当交易就是状态转换时，它会更安全，”Leishman 总结道。

截至发稿时，ETH 交易价格为 2,705 美元。

• 以太坊
• 区块链
• 冷钱包