企业级托管解决方案通过多层次的安全防护和透明机制，能够有效保障数字资产的安全。

观点来自：Vikash Singh，Stillmark首席投资人

Bybit黑客事件导致加密货币交易所史上最大的一笔资金损失。这为那些忽视数字资产安全威胁的人敲响了警钟。每个人都应该从这次盗窃中汲取教训——企业级托管解决方案不仅需要技术支持，还需要透明度。

不同于许多过去的事件，这次资金损失并非由于智能合约漏洞、密钥丢失或误管理、或故意滥用用户资金，而是一次复杂的社会工程攻击，利用了运营安全中的漏洞。

这次黑客攻击与以往的事件不同，发生在一个全球知名的大型交易所，而该交易所一直在安全和合规方面采取严谨措施。这提醒我们，在加密货币领域，“足够好”的安全是不存在的。

攻击分析

了解Bybit黑客事件的技术细节对于理解公司如何主动强化防御此类攻击至关重要。最初，Bybit使用的多签名以太坊钱包资产管理平台Safe中的一台开发者机器被攻破。这个初步突破使得攻击者未授权地访问了Safe的亚马逊云服务（AWS）环境，包括其S3存储桶。

攻击者随后将一个恶意JavaScript文件推送到该存储桶，并通过访问Safe用户界面将其传播给用户。该JS代码在用户签署交易时篡改了交易内容，将用户误导为授权向攻击者的钱包转账，而他们本以为自己是在确认合法交易。

这突显了即使是技术层面上非常强大的安全措施，如多签名，如果没有正确实施，也可能存在漏洞。这种情况会导致用户产生虚假的安全感，而这种安全感可能是致命的。

多层次安全

虽然多签名安全设置长期以来被认为是数字资产安全的黄金标准，但Bybit黑客事件突显了进一步分析和透明化这些系统实施的必要性，包括除了操作安全和人类层面外的安全层次，这些层次能够缓解攻击风险，并且需要对智能合约本身进行验证。

一个健康的安全框架应优先考虑多层次的验证，并限制潜在交互的范围。这种框架显著增强了防御攻击的能力。

设计良好的系统会对所有交易进行彻底的验证。例如，三重验证系统包括：移动应用程序验证服务器数据，服务器验证移动应用程序的数据，硬件钱包验证服务器数据。如果任何一个检查失败，交易将不会被签署。这种多层次的方法不同于那些直接与链上合约接口的系统，后者可能缺乏关键的服务器端检查，而这些检查对于容错至关重要，特别是在用户界面可能被攻破的情况下。

安全框架应限制与数字资产保管库的潜在交互范围。将行为限制在最小的范围内，例如发送、接收和管理签名者，可以减少与复杂智能合约修改相关的潜在攻击向量。

使用专用的移动应用程序进行敏感操作，如交易创建和展示，增加了额外的安全保障。移动平台通常比基于浏览器的钱包或多签名界面更能抵抗妥协和欺骗。这种依赖专用应用程序的做法增强了整体的安全性。

透明度提升

为了提高透明度，企业可以利用储备证明软件的能力。这些软件通过提供链状态/所有权的独立、可审计视图，保护多签名托管设置免受UI攻击，并验证正确的密钥集合是否可以用于花费给定地址/合约中的资金（类似健康检查）。

随着比特币（BTC）和数字资产的机构采用不断增加，托管服务提供商必须透明地传达其系统的安全模型及背后的设计决策，这才是真正的“加密安全黄金标准”。

透明度还应扩展到基础协议的性质如何改变托管设置的攻击面，包括多签名钱包。比特币优先考虑人工可验证的转账，在这种情况下，签名者直接确认目标地址，而不是确认参与复杂智能合约，这些合约需要额外的步骤/依赖才能揭示资金流动。

在Bybit黑客事件中，这将使得人工签名者更容易发现硬件钱包显示的地址与伪造的UI不匹配。

尽管表达式智能合约扩展了应用设计空间，但它们增加了攻击面，使得正式的安全审计变得更具挑战性。比特币建立的多签名标准，包括本机多签名操作码，创建了额外的安全屏障，防止此类攻击。比特币协议历来追求简单性，这不仅减少了智能合约层的攻击面，还减少了UX/人类层的攻击面，包括硬件钱包用户。

随着监管接受度的增加，比特币自早期的广泛黑客和欺诈事件以来已经取得了显著进展，但Bybit事件表明，我们不能放松警惕。比特币代表着金融自由——而自由的代价就是保持永远的警觉。

观点来自：Vikash Singh，Stillmark首席投资人。

相关推荐：DeepSeek的崛起及其安全隐患：价格更低、速度更快、风险更大

本文仅供一般信息参考，不应被视为法律或投资建议。本文所表达的观点仅代表作者个人观点，并不一定反映或代表Cointelegraph的观点。