欧易 强大的 Web3 聚合投资平台

当多签变成单点故障，Safe 钱包用户该何去何从？

2025年2月21日，加密货币交易所Bybit遭遇了一起黑客攻击，导致约15亿美元资产被盗。这一事件不仅刷新了加密货币被盗记录，更震惊整个行业的是：这起攻击绕过了被视为行业标准的多签安全机制。

事后分析显示，黑客攻破了Safe开发者设备，修改了Safe{Wallet}服务器上的前端JavaScript代码。当Bybit多签持有者登录时，界面显示正常交易，但实际签署的是完全不同的内容，导致资金被盗。

这一事件引发了深刻的思考：多签钱包真的是问题所在吗？还是我们使用它的方式出了问题？

Bybit事件后，一个问题浮出水面：Safe真的安全吗？

必须承认的是，Safe合约本身是安全的。它完全开源，经多家安全公司审核，历史运行中未出现重大合约漏洞。但安全不仅仅是合约代码的问题。

事实上，安全风险涉及一条很长的信任链。使用Safe钱包时，签名者依赖诸多环节：签名设备、操作系统、浏览器、钱包插件、SafeUI、RPC节点、区块链浏览器、硬件钱包及其软件。这条链太长，黑客往往只需攻破其中一环就能获得巨额收益。

在Bybit事件中，攻击者选择了一个看似不起眼的环节：Web前端。黑客攻击了Safe{Wallet}的服务器，替换了JavaScript。用户以为在签正常交易，实际上签的是恶意升级（将CALL改为DELEGATE_CALL）。

进一步分析，我们发现这类安全漏洞的根源在于「信任链中的交叉点」。多签钱包本应创建一条由多人共同验证的安全链，每个环节都由独立个体把关。理想情况下，每个签名者都应使用独立的工具和方法验证交易。但现实中，签名者往往共享同一个Web界面、同一组RPC节点、同类型的硬件钱包和相似的验证流程。

这凸显了一个关键安全漏洞：当所有签名者都依赖同一个Web界面，攻击者只需控制这个共享单点，就能同时欺骗所有签名者。值得注意的是，这并非Safe特有的问题，而是多签实践中普遍存在但常被忽视的盲区。

这些共享点就是安全链中的弱点。黑客只需攻破一个交叉点，就能同时影响所有人。

这一深刻教训告诉我们，安全不是一个工具，而是一套系统化的实践。拥有顶级的多签工具并不足以保证安全，关键在于如何用它们构建完整的安全流程。

对机构和交易所而言，这一认识尤为紧迫。2024年数据显示，加密盗窃损失增长67%，达到4.94亿美元，但受害地址仅增加3.7%。攻击者已明确转向「精准狙击」高价值目标，最大单笔被盗金额高达5548万美元。当你的资产规模达到机构级别，你就成了黑客追逐的首选目标，任何安全妥协都可能带来灾难。

Bybit的损失正是最深刻的教训，给整个行业敲响了警钟：真正的多签安全需要多条独立验证路径，而不仅是多个签名者。如果所有人依赖同一信息源，再多签名者也无法提供真正安全。

换句话说，Safe本身可以很安全，但前提是你以正确的方式使用它，并理解整个安全链条中的每一个环节。这对高净值用户尤其重要。

如果说损失15亿美元的Bybit黑客事件让我们学到了什么，那就是让我们重新思考安全的本质：多签钱包的安全不在于签名者的数量，而在于验证路径的独立性。

当所有人都看同一个Web界面，就创造了完美的单点故障。黑客只需攻破这一点，就能欺骗所有人。这就是Bybit事件的真相。

那么，我们如何在保持多签权限分散优势的同时，强化验证路径的独立性呢？

MPC和Safe的结合或许是答案。这种组合不仅继承了两者的优势，还可能开创全新的安全范式，从根本上解决当前多签实践中的「共享信任点」问题。

CoboPortal的MPC+Safe组合安全设计基于两个核心原则：

传统多签方案中，所有签名者共享同一个界面、RPC节点和解析逻辑，形成危险的「集中信任点」。更安全的方案应打破这种模式，建立分离的验证系统：

分离的签名基础设施（如MPC或HSM）

自主维护的RPC节点网络（不依赖Safe提供的节点）

独立解析交易内容的服务层（确保每个签名者看到真实交易内容）

专用的审批界面，与主WebUI完全隔离

Cobo推出的「Safe{Wallet}协签」解决方案正是基于这一理念开发，可以作为Safe多签钱包中的一个签名者，但与其他签名者完全独立。

其工作原理是：CoboPortal从Safe服务中拉取待签名交易，通过独立的风控系统进行审核，然后使用MPC钱包或全托管HSM钱包完成签名，并将签名结果推回系统。

以Bybit事件为例，即使黑客劫持了Safe界面，Cobo独立验证系统仍能显示真实交易内容和风险警告。

作为Cobo的一款安全产品，CoboSafe权限分离模块实现了一个简单但强大的理念：冷钱包永远不需要全部权限。

以交易所为例，冷钱包的主要工作是向热钱包转入资金。但每次热钱包需要资金时，管理员必须动用冷钱包的完整控制权进行转账，这增加了不必要的风险暴露。

CoboSafe方案很直接，允许创建一个特殊的「受限操作员」角色，这个角色只有一种权限：向预先设定的热钱包地址转特定白名单币种。日常运营只需通过这个低权限地址操作，主Safe无需频繁动用。用户还可以自行配置Safe的黑白名单，包括可调用的目标合约限制，进一步强化权限控制。

这意味着，即使黑客完全控制了这个操作员账户，他们能做的唯一事情就是向交易所自己的热钱包转账——没有权限修改钱包设置，没有权限转向其他地址，没有权限动用非白名单币种。

一旦理解了攻击者如何行动，就能设计出有效的防线。让我们模拟一下攻击者的行动路径，看看CoboPortal的防护在Bybit攻击场景中会如何发挥作用。

场景重现

攻击步骤1：Safe前端被注入恶意JavaScript代码

Safe多签方案下：所有签名者都使用同一个被攻击的界面，看到被伪装的交易内容；

CoboSafe{Wallet}协签方案下：虽然Safe界面被攻击，但Cobo的独立审批App不受影响，显示真实交易内容。

攻击步骤2：伪装交易请求签名

Safe多签方案下：签名者看到的是「向热钱包转账」，实际在授权升级；

CoboSafe{Wallet}协签方案下：独立验证链路解析出真实交易是DelegateCall操作，App上显示风险警告。

攻击步骤3：收集签名执行攻击

Safe多签方案下：收集足够签名后，合约控制权被攻击者获取；

CoboSafe{Wallet}协签方案下：显示真实交易内容与风险提示，让签名者识别攻击行为。

攻击步骤4：绕过多签防线

Safe多签方案下：攻击者获得合约控制权后，可转移所有资产；

配合使用CoboSafe方案：即使前面的所有防线被突破，CoboSafe的权限分离确保攻击者只能执行预授权操作（比如向白名单热钱包转账）。

在CoboPortal的独立验证防护下，Bybit的攻击者将在多个环节被拦截。值得强调的是，虽然CoboSafe{Wallet}协签和CoboSafe是两款独立产品，但将两者结合使用会提供更高的安全级别。如果突破了独立验证这一防线，权限分离系统仍能有效限制可能的损失范围。通过这种深度防御策略，这15亿美元的资产损失可完全避免。

安全就像保险。人们总是在灾难发生后才意识到它的重要性。

不幸的是，这个行业已经付出了天文数字的学费，但这也为我们重新思考加密安全提供了契机，即安全是不对称游戏。攻击者只需找到一个漏洞，防守者却必须守住所有。当数十亿美元的资产在那里，顶尖黑客甚至拥有无限资源的国家级攻击者会花月甚至年来研究你的系统，寻找那个唯一的弱点。

这正是Cobo开发Safe{Wallet}协签方案的原因。我们想解决一个核心问题：如何消除单点故障？答案是重构整个验证流程，实现多重安全保障。对于管理大额资产的机构来说，安全从来不是效率的对立面，而是前提。如果没有安全，效率根本无从谈起。

Cobo内部一直在使用这套系统，安全事件频发后，我们意识到，这些安全实践不应该只属于我们自己，而应该惠及更多用户。因此，我们将其产品化，并推出30天免费试用。希望它不仅可以保护你的资产，更能借助你的反馈不断优化升级，让安全体系更完善。

安全不是一次性投入，而是一个持续演进的过程。随着威胁不断升级，安全防护也必须持续迭代。唯有专注与坚持，才能真正应对不断变化的风险环境。

如果你正管理大额加密资产，或是高净值用户，欢迎试用CoboSafe{Wallet}协签方案，并与我们分享你的使用体验。在加密行业，安全永远是最重要的事。