從Bybit駭客攻擊事件看交易所安全：安全與合規如何引領平台健康發展？

在虛擬資產交易領域，安全體系建置正面臨技術迭代與監管規範的雙重驅動。產業觀察顯示，全球頭部持牌交易平台普遍採用「冷熱錢包分離+多重簽章」的核心架構，透過多維度防控機制構築安全防線。
（前情提要：Bybit 史上最大駭客攻擊事件深入剖析，產業安全如何升級？）
（背景補充：V神喊「多簽+冷錢包最安全」被駭客打臉，專家：Bybit案衝擊大量機構、資安整頓期或達半年）

本文為廣編稿，由 HashKey Global 撰文、提供，不代表動區立場，亦非投資建議、購買或出售建議。詳見文末責任警示。

北

京時間 2 月 21 日晚間，鏈上偵探 ZachXBT 監測到 Bybit 發生 14.6 億美元的 ETH 資金異常流出，其中 mETH 和 stETH 正在 DEX 上被兌換為 ETH。以金額計算，這可能成為加密貨幣史上最大的駭客攻擊事件。

Bybit 迅速做出反應，第一時間在官方推特回應，表示「此次事件涉及 ETH 多重簽名冷錢包，攻擊者利用智能合約邏輯漏洞操縱簽名介面，使交易在表面上顯示為正常轉帳，但底層邏輯已被篡改，最終駭客成功控制了該冷錢包並提取資產。」問題隨後，Bybit CEO 進行了兩個小時的推特直播，與用戶分享事件最新進展，並解答用戶疑問。

隨後，Bybit 交易平台在 12 小時內共流入資金超過 40 億美元，儘管具體調查結果尚未公佈，但多位安全專家推測，本次事件可能源於簽署者電腦或中間介面遭到駭客攻擊。駭客在等待多簽執行人員進行日常簽名時，悄悄篡改交易內容，使智能合約升級為帶有後門的惡意合約，從而提取所有資金。

過去幾年，數位資產交易資產被竊事件多次發生，通常集中表現為以下幾種安全問題：

熱錢包資產被竊：部分交易所熱錢包儲存比例過高，容易因漏洞攻擊導致大額資產流失。
內部管理漏洞：部分交易所因管理不善，可能存在員工作惡或協助外部攻擊的風險。
安全供應商不足：未與頂級安全服務商合作，導致未能及時發現和應對潛在威脅。
缺乏保險機制：極端事件發生後，由於缺乏保險覆蓋，交易所難以彌補用戶資產損失。 ‘

這次 Bybit 事件並非熱錢包被盜，其他資產未受影響，且提現服務始終正常運作。這顯示問題並非源自內部管理或提現流程，而是駭客利用技術漏洞進行精準攻擊。

交易所作為加密產業的核心基礎設施，資產安全至關重要。駭客攻擊不僅會造成巨額資金損失，還可能影響平台信譽，甚至動搖整個產業信任體系。如何建構一個全面、可靠的安全體係以保障用戶資產，成為了每個合規交易所的關鍵任務。

在虛擬資產交易領域，安全體系建置正面臨技術迭代與監管規範的雙重驅動。產業觀察顯示，全球頭部持牌交易平台普遍採用「冷熱錢包分離+多重簽章」的核心架構，透過多維度防控機制構築安全防線：

資金隔離技術標準化：

系統級實體隔離：冷熱錢包採用獨立安全屋設置，專用電腦配備防侵入系統。熱錢包伺服器僅處理用戶訂單需求，冷錢包設備則完全物理斷網
動態配額管理：不同司法管轄區設定差異化的熱錢包比例，例如香港監管熱錢包2%，杜拜監管熱錢包10%。
智慧風控觸發：資金劃轉需透過訂單需求智慧歸集觸發，杜絕人工干預可能

冷熱轉換系統銀行級風控：

操作流程實施”三人四眼”機制，涵蓋錢包管理、安全審計、財務監控等多部門協同
硬體層面冷熱錢包分置獨立安全屋，熱錢包伺服器處理訂單需求，冷錢包設備永久實體斷網

持牌機構創新實踐：

例如，Coinbase在資產管理上有著全球最嚴格的安全措施管控。該平台採取了多重簽名技術，確保每一筆資金的轉移都需要多個授權者的批准，從而降低單一帳戶被攻破的風險。此外，Coinbase 也透過定期的安全審計和合規檢查，確保平台的所有流程符合業界最佳實踐，進一步增強使用者的信任。

類似的，HashKey global 則與 Slowmist 合作，實現多重簽章協定與冷儲存系統的深度整合。 Slomist 自主研發的金鑰分片管理系統，透過分散式簽章驗證機制，在維持實體隔離的冷錢包環境下，完成了金鑰持有者的動態授權驗證流程。這項技術突破使得冷錢包操作既滿足實體隔絕要求，又能透過密鑰分片實現權限分割。

加強資產保障：保險機制的創新

除了技術保障，保險機制也成為了加密交易所保障用戶資產安全的重要手段。以 Kraken 為例，平台與專業保險公司合作，為儲存在平台上的資產提供保險保障。 Kraken 的保險涵蓋了部分數位資產在儲存過程中因駭客攻擊或其他安全漏洞而導致的損失，儘管保險無法完全涵蓋所有風險，但它為用戶提供了一定的保障底線。

擁有香港保監局虛擬保險牌照的 OneDegree 是業界重要的合作夥伴，與 BitGo、HashKey Global 等頭部平台合作，為用戶資產提供全面的保險保障。保險涵蓋極端事件，如地震等自然災害或其他不可預見的風險，確保使用者資產安全。每年，交易所投入大量資金用於用戶資產保險，不僅提升了平台的安全性，也增強了用戶信任。

嚴格的合規性要求

合規性不僅是法律和監管的要求，更是交易所確保資金安全、提升用戶信任的必要保障。作為持牌交易所，Coinbase 在合規性方面投入了大量資源，先後獲得了美國多個州的轉帳交易牌照（Money Transmitter License）以及歐洲的電子貨幣許可證。這些牌照的取得，不僅證明了平台的合規性，也為使用者提供了更強的保障。

Kraken 在合規方面也採取了類似措施。該平台已經在多個國家和地區獲得了合法經營牌照，並在營運中嚴格遵守各項監管要求。透過與監管機構的緊密合作，Kraken 確保其業務活動符合當地的法律法規，避免了因合規問題而導致的安全風險。

合規與加密原生性並重

在合規與加密創新之間找到平衡，是交易所面臨的最大挑戰之一。例如，如果虛擬資產交易所要在歐洲展業必須先拿到 MiCA 牌照。持牌主體需要嚴格遵守當地司法管轄區的要求，確保平台的合規運作。這樣，平台的加密原生性也得到了保障，這使其能夠更迅速地響應市場熱點，打造創新產品，滿足用戶需求。

隨著加密貨幣產業的不斷發展，交易所的資產安全問題將愈發重要。交易所需要透過技術創新、嚴格的合規管理和保險機制，建構更全面的資產安全體系，同時保持平台的靈活性和市場回應能力，才能為用戶提供了強而有力的保障，推動全球數位資產產業的健康發展。

廣編免責聲明：本文內容為供稿者提供之廣宣稿件，供稿者與動區並無任何關係，本文亦不代表動區立場。本文無意提供任何投資、資產建議或法律意見，也不應被視為購買、出售或持有資產的要約。廣宣稿件內容所提及之任何服務、方案或工具等僅供參考，且最終實際內容或規則以供稿方之公布或說明為準，動區不對任何可能存在之風險或損失負責，提醒讀者進行任何決策或行為前務必自行謹慎查核。