从 Bybit 黑客攻击事件看交易所安全：安全与合规如何引领平台健康发展？

北京时间 2 月 21 日晚间，链上侦探 ZachXBT 监测到 Bybit 发生 14.6 亿美元的 ETH 资金异常流出，其中 mETH 和 stETH 正在 DEX 上被兑换为 ETH。按照金额计算，这可能成为加密货币历史上最大的一起黑客攻击事件。

Bybit 迅速做出反应，第一时间在官方推特回应，表示“此次事件涉及 ETH 多重签名冷钱包，攻击者利用智能合约逻辑漏洞操纵签名界面，使交易在表面上显示为正常转账，但底层逻辑已被篡改，最终黑客成功控制了该冷钱包并提取资产。” 随后，Bybit CEO 进行了两个小时的推特直播，分享事件最新进展，并解答用户疑问。

随后，Bybit 交易平台在 12 小时内共计流入资金超过 40 亿美元，尽管具体调查结果尚未公布，但多位安全专家推测，本次事件可能源于签名者计算机或中间接口遭到黑客攻击。黑客在等待多签执行人员进行日常签名时，悄然篡改交易内容，使智能合约升级为带有后门的恶意合约，从而提取所有资金。

过去几年，数字资产交易资产被盗事件多次发生，通常集中表现为以下⼏种安全问题： 

热钱包资产被盗：部分交易所热钱包存储比例过高，容易因漏洞攻击导致大额资产流失。

内部管理漏洞：部分交易所因管理不善，可能存在员工作恶或协助外部攻击的风险。

安全供应商不足：未与顶级安全服务商合作，导致未能及时发现和应对潜在威胁。

缺乏保险机制：极端事件发生后，由于缺乏保险覆盖，交易所难以弥补用户资产损失。‘

本次 Bybit 事件并非热钱包被盗，其他资产未受影响，且提现服务始终正常运行。这表明问题并不源于内部管理或提现流程，而是黑客利用技术漏洞进行精准攻击。

交易所作为加密行业的核心基础设施，资产安全至关重要。黑客攻击不仅会造成巨额资金损失，还可能影响平台信誉，甚至动摇整个行业信任体系。如何构建一个全面、可靠的安全体系以保障用户资产，成为了每个合规交易所的关键任务。

在虚拟资产交易领域，安全体系建设正面临技术迭代与监管规范的双重驱动。行业观察显示，全球头部持牌交易平台普遍采用"冷热钱包分离+多重签名"的核心架构，通过多维度防控机制构筑安全防线：

资金隔离技术标准化：

- 系统级物理隔离：冷热钱包采用独立安全屋设置，专用计算机配备防侵入系统。热钱包服务器仅处理用户订单需求，冷钱包设备则完全物理断网

- 动态配额管理：不同司法管辖区设定差异化的热钱包比例，例如香港监管热钱包2%，迪拜监管热钱包10%

- 智能风控触发：资金划转需通过订单需求智能归集触发，杜绝人工干预可能

冷热转换系统银行级风控：

- 操作流程实施"三人四眼"机制，涵盖钱包管理、安全审计、财务监控等多部门协同

- 硬件层面冷热钱包分置独立安全屋，热钱包服务器处理订单需求，冷钱包设备永久物理断网

持牌机构创新实践：

比如，Coinbase在资产管理上有着全球最为严格的安全措施管控。该平台采取了多重签名技术，确保每一笔资金的转移都需要多个授权者的批准，从而降低单个账户被攻破的风险。此外，Coinbase还通过定期的安全审计和合规检查，确保平台的所有流程符合行业最佳实践，进一步增强用户的信任。

类似的，HashKey global 则与Slowmist合作，实现多重签名协议与冷存储系统的深度整合。Slomist自主研发的密钥分片管理系统，通过分布式签名验证机制，在保持物理隔离的冷钱包环境下，完成了密钥持有者的动态授权验证流程。这项技术突破使得冷钱包操作既满足物理隔绝要求，又能通过密钥分片实现权限分割。

加强资产保障：保险机制的创新

除了技术保障，保险机制也成为了加密交易所保障用户资产安全的重要手段。以Kraken为例，该平台与专业保险公司合作，为存储在平台上的资产提供保险保障。Kraken的保险涵盖了部分数字资产在存储过程中因黑客攻击或其他安全漏洞导致的损失，尽管保险无法完全覆盖所有风险，但它为用户提供了一定的保障底线。

拥有香港保监局虚拟保险牌照的 OneDegree 是行业内重要的合作伙伴，与 BitGo、HashKey Global等头部平台合作，为用户资产提供全面的保险保障。保险覆盖极端事件，如地震等自然灾害或其他不可预见的风险，确保用户资产安全。每年，交易所投入大量资金用于用户资产保险，不仅提升了平台的安全性，也增强了用户信任。

严格的合规性要求

合规性不仅是法律和监管的要求，更是交易所确保资金安全、提升用户信任的必要保障。作为持牌交易所，Coinbase在合规性方面投入了大量资源，先后获得了美国多个州的转账交易牌照（Money Transmitter License）以及欧洲的电子货币许可证。这些牌照的获得，不仅证明了平台的合规性，也为用户提供了更强的保障。

Kraken在合规方面也采取了类似措施。该平台已经在多个国家和地区获得了合法经营牌照，并在运营中严格遵守各项监管要求。通过与监管机构的紧密合作，Kraken确保其业务活动符合当地的法律法规，避免了因合规问题导致的安全风险。

合规与加密原生性并重

在合规与加密创新之间找到平衡，是交易所面临的最大挑战之一。例如，如果虚拟资产交易所要在欧洲展业必须先拿到MiCA牌照。持牌主体需要严格遵守当地司法管辖区的要求，确保平台的合规运营。这样，平台的加密原生性也得到了保障，这使其能够更迅速地响应市场热点，打造创新产品，满足用户需求。

随着加密货币行业的不断发展，交易所的资产安全问题将愈发重要。交易所需要需要通过技术创新、严格的合规管理和保险机制，构建更加全面的资产安全体系，同时保持平台的灵活性和市场响应能力，才能为用户提供了强有力的保障，推动全球数字资产行业的健康发展。