以 Radiant 多签攻击为例分析 Bybit 此次被盗的原理

新手2/22/2025, 4:19:26 AM
2025 年 2 月 21 日,加密货币交易所 Bybit 发生了严重的安全事件,超过 15 亿美元资产被盗。该事件与 2025 年10 月 Radiant Capital 跨链借贷协议遭受的攻击类似,后者攻击者通过控制多签私钥和合约漏洞盗取资金。两起事件都揭示了黑客攻击手段的日益复杂性,暴露了加密行业的安全隐患。本文深入分析了 Radiant 事件的技术细节,重点探讨了恶意合约和多签钱包的滥用。文章最后强调了加强行业安全防护的迫切需求,以保护用户资产。

引言

2025年2月21日,加密货币交易所 Bybit 发生了严重的安全事件,导致超过 15 亿美元的资产被盗。虽然 Bybit 官方迅速作出回应,并表示能够承受损失,但这一事件仍引发了广泛的行业震动。在此背景下,我们不禁回顾起 2025 年 10 月 17 日发生的 Radiant Capital 跨链借贷协议被盗事件。两者虽在攻击手段和实施路径上有所不同,但都揭示了加密行业在安全性方面面临的严峻挑战。

尤其是业内专家,慢雾团队创始人余弦指出,Bybit 的此次盗窃行为可能与朝鲜黑客团队有关(仅为推测,目前暂无证据显示确实是朝鲜黑客团队所做,不做任何参考建议),而 Radiant 事件中攻击者通过控制多签私钥与恶意合约漏洞获取控制权的方式,也与部分朝鲜黑客手法相似。无论是冷钱包的控制,还是智能合约的篡改,两个事件都提示我们,黑客的攻击手段已经趋于复杂且隐蔽,给加密货币市场的安全性带来了挑战。本文将以 Radiant 为例,解析多签攻击的过程。

图:https://x.com/evilcos/status/1892970435194863997

Radiant Capital 攻击简述

10 月 17 日,Radiant Capital 跨链借贷协议遭遇网络攻击,损失超过 5,000 万美元。Radiant 是一个全链通用的资金市场,用户可以在任何主流区块链上存入任何资产,并借出资产。链上数据显示,黑客将从 Arbitrum 和 BNB Chain 中盗取的资产迅速转移,其中约 12,834 ETH 和 32,112 BNB 分别存入两个地址。

过程分析

此次攻击的核心是攻击者控制了多位签名者的私钥,从而接管了多个智能合约。接下来,我们将深入分析这起攻击的具体过程以及背后的技术手段。

  1. 攻击者通过恶意合约(即 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5)调用了 multicall 功能。multicall 允许一次调用中执行多个不同的操作。在这次调用中,攻击者将目标设定为 Radiant 系统中的 2 个组件,包括借贷池地址提供者(Radiant: Pool Address Provider)和借贷池(Radiant: Lending Pool)。

  1. 交易 1 中,攻击者操控了一个 Gnosis 多重签名钱包 (GnosisSafeProxy_e471_1416)。通过恶意调用,攻击者成功执行了一次 execTransaction,其中包括使用 transferOwnership 修改借贷池地址提供者的合约地址。这样,攻击者便能够控制借贷池合约并进一步进行恶意操作。
  2. 攻击者利用合约升级机制,通过调用 setLendingPoolImpl 函数,将 Radiant 的借贷池实现合约替换为其自己的恶意合约 0xf0c0a1a19886791c2dd6af71307496b1e16aa232。这个恶意合约包含了后门功能,允许攻击者进一步操控系统中的资金流向。

后门功能(Backdoor Function),是指恶意合约中的某种隐藏功能,通常被设计为看似正常,但实际上允许攻击者绕过正常的安全措施,直接获取或转移资产。

  1. 在借贷池实现合约被替换后,攻击者通过调用 upgradeToAndCall 函数,执行了该恶意合约中的后门逻辑,进一步从借贷市场中转移资产至攻击者控制的合约中,从而获利。

结语:从 Radiant 到 Bybit,安全依然是加密行业的头等大事

Bybit 和 Radiant 的被盗事件虽然发生在不同的项目上,但其攻击手法都凸显了加密货币市场中普遍存在的安全隐患。无论是通过控制多签私钥,还是通过篡改智能合约,黑客已经能够利用复杂的技术手段轻松突破传统的安全防线。

随着黑客攻击手段的日益复杂化,如何提升加密货币交易所和协议的安全性,成为了整个行业必须深刻思考的问题。无论是通过加强技术防护,还是在合约升级过程中加入更严格的安全审查,未来加密项目方将需要不断加强自身的安全能力,以确保用户资产的安全。

Gate.io 深知保障用户资产安全的重要性,一直将其作为首要任务。我们通过精细化管理冷钱包与热钱包,结合用户余额快照和默克尔树结构等前沿技术,定期进行安全审计,全面优化资产存储和管理流程,确保每一笔资产的安全和透明。

此次被盗事件再次警示了整个行业的安全挑战。Gate.io 将从中汲取教训,持续升级安全防护体系,采取更先进的技术手段和风险监控措施,确保平台始终稳固可靠。我们承诺,始终不遗余力地守护用户资产,为用户提供一个稳定、可信赖的交易环境。

Tác giả: Max
(Những) người đánh giá: Wayne
* Đầu tư có rủi ro, phải thận trọng khi tham gia thị trường. Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào khác thuộc bất kỳ hình thức nào được cung cấp hoặc xác nhận bởi Gate.io.
* Không được phép sao chép, truyền tải hoặc đạo nhái bài viết này mà không có sự cho phép của Gate.io. Vi phạm là hành vi vi phạm Luật Bản quyền và có thể phải chịu sự xử lý theo pháp luật.

以 Radiant 多签攻击为例分析 Bybit 此次被盗的原理

新手2/22/2025, 4:19:26 AM
2025 年 2 月 21 日,加密货币交易所 Bybit 发生了严重的安全事件,超过 15 亿美元资产被盗。该事件与 2025 年10 月 Radiant Capital 跨链借贷协议遭受的攻击类似,后者攻击者通过控制多签私钥和合约漏洞盗取资金。两起事件都揭示了黑客攻击手段的日益复杂性,暴露了加密行业的安全隐患。本文深入分析了 Radiant 事件的技术细节,重点探讨了恶意合约和多签钱包的滥用。文章最后强调了加强行业安全防护的迫切需求,以保护用户资产。

引言

2025年2月21日,加密货币交易所 Bybit 发生了严重的安全事件,导致超过 15 亿美元的资产被盗。虽然 Bybit 官方迅速作出回应,并表示能够承受损失,但这一事件仍引发了广泛的行业震动。在此背景下,我们不禁回顾起 2025 年 10 月 17 日发生的 Radiant Capital 跨链借贷协议被盗事件。两者虽在攻击手段和实施路径上有所不同,但都揭示了加密行业在安全性方面面临的严峻挑战。

尤其是业内专家,慢雾团队创始人余弦指出,Bybit 的此次盗窃行为可能与朝鲜黑客团队有关(仅为推测,目前暂无证据显示确实是朝鲜黑客团队所做,不做任何参考建议),而 Radiant 事件中攻击者通过控制多签私钥与恶意合约漏洞获取控制权的方式,也与部分朝鲜黑客手法相似。无论是冷钱包的控制,还是智能合约的篡改,两个事件都提示我们,黑客的攻击手段已经趋于复杂且隐蔽,给加密货币市场的安全性带来了挑战。本文将以 Radiant 为例,解析多签攻击的过程。

图:https://x.com/evilcos/status/1892970435194863997

Radiant Capital 攻击简述

10 月 17 日,Radiant Capital 跨链借贷协议遭遇网络攻击,损失超过 5,000 万美元。Radiant 是一个全链通用的资金市场,用户可以在任何主流区块链上存入任何资产,并借出资产。链上数据显示,黑客将从 Arbitrum 和 BNB Chain 中盗取的资产迅速转移,其中约 12,834 ETH 和 32,112 BNB 分别存入两个地址。

过程分析

此次攻击的核心是攻击者控制了多位签名者的私钥,从而接管了多个智能合约。接下来,我们将深入分析这起攻击的具体过程以及背后的技术手段。

  1. 攻击者通过恶意合约(即 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5)调用了 multicall 功能。multicall 允许一次调用中执行多个不同的操作。在这次调用中,攻击者将目标设定为 Radiant 系统中的 2 个组件,包括借贷池地址提供者(Radiant: Pool Address Provider)和借贷池(Radiant: Lending Pool)。

  1. 交易 1 中,攻击者操控了一个 Gnosis 多重签名钱包 (GnosisSafeProxy_e471_1416)。通过恶意调用,攻击者成功执行了一次 execTransaction,其中包括使用 transferOwnership 修改借贷池地址提供者的合约地址。这样,攻击者便能够控制借贷池合约并进一步进行恶意操作。
  2. 攻击者利用合约升级机制,通过调用 setLendingPoolImpl 函数,将 Radiant 的借贷池实现合约替换为其自己的恶意合约 0xf0c0a1a19886791c2dd6af71307496b1e16aa232。这个恶意合约包含了后门功能,允许攻击者进一步操控系统中的资金流向。

后门功能(Backdoor Function),是指恶意合约中的某种隐藏功能,通常被设计为看似正常,但实际上允许攻击者绕过正常的安全措施,直接获取或转移资产。

  1. 在借贷池实现合约被替换后,攻击者通过调用 upgradeToAndCall 函数,执行了该恶意合约中的后门逻辑,进一步从借贷市场中转移资产至攻击者控制的合约中,从而获利。

结语:从 Radiant 到 Bybit,安全依然是加密行业的头等大事

Bybit 和 Radiant 的被盗事件虽然发生在不同的项目上,但其攻击手法都凸显了加密货币市场中普遍存在的安全隐患。无论是通过控制多签私钥,还是通过篡改智能合约,黑客已经能够利用复杂的技术手段轻松突破传统的安全防线。

随着黑客攻击手段的日益复杂化,如何提升加密货币交易所和协议的安全性,成为了整个行业必须深刻思考的问题。无论是通过加强技术防护,还是在合约升级过程中加入更严格的安全审查,未来加密项目方将需要不断加强自身的安全能力,以确保用户资产的安全。

Gate.io 深知保障用户资产安全的重要性,一直将其作为首要任务。我们通过精细化管理冷钱包与热钱包,结合用户余额快照和默克尔树结构等前沿技术,定期进行安全审计,全面优化资产存储和管理流程,确保每一笔资产的安全和透明。

此次被盗事件再次警示了整个行业的安全挑战。Gate.io 将从中汲取教训,持续升级安全防护体系,采取更先进的技术手段和风险监控措施,确保平台始终稳固可靠。我们承诺,始终不遗余力地守护用户资产,为用户提供一个稳定、可信赖的交易环境。

Tác giả: Max
(Những) người đánh giá: Wayne
* Đầu tư có rủi ro, phải thận trọng khi tham gia thị trường. Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào khác thuộc bất kỳ hình thức nào được cung cấp hoặc xác nhận bởi Gate.io.
* Không được phép sao chép, truyền tải hoặc đạo nhái bài viết này mà không có sự cho phép của Gate.io. Vi phạm là hành vi vi phạm Luật Bản quyền và có thể phải chịu sự xử lý theo pháp luật.
Bắt đầu giao dịch
Đăng ký và giao dịch để nhận phần thưởng USDTEST trị giá
$100
$5500