吴说对话Bybit：详解15亿美金被盗原因、救援进展及未来安排

原文编辑：吴说区块链

本次 Space 围绕 Bybit 近期遭遇的加密货币领域历史上最大规模黑客攻击事件、同时也是人类历史上最大金额的盗窃案展开，吴说 Colin 对话 Bybit 高管 Shunyet Jan 和 CEO Ben Zhou 介绍了事件发生及之后救援的细节。事件涉及价值约 15 亿美元的以太坊被盗，疑似朝鲜黑客组织 Lazarus Group 所为。Bybit 通过优先开放散户提币、分级限制机构客户、并借助 Bitget 等交易所及 OTC 服务商的流动性支持，在 12 小时内恢复了全面提币功能，目前流动性问题已解决。然而，被盗资金追回可能性极低，公司正联合安全团队调查漏洞根源，涉及多签冷钱包供应商 Safe 的技术问题或潜在内部失误。此外，Bybit 强调将通过提升安全措施、优化风控流程及透明化沟通重建用户信任，同时坦言此次事件暴露了内部流程与危机管理的不足，未来将进行全面复盘与改进。

音频转录由 GPT 完成，可能存在错误。请收听完整的播客：

小宇宙 ｜ YouTube

被盗 70% 以太坊现货库存，已通过借贷等方式解除流动性危机

Colin： 詹老师，大家最关心的一个情况是，目前 Bybit 的情况怎么样？对于你们而言，目前的流动性已经彻底完善了吗？还是说仍然存在一些流动性的缺口？

Shunyet： 好的，我们当时被盗的只是我们的以太坊现货库存，大约占 70% 左右。因为很多客户在那段时间有需求，我们暂停了不少操作，根据客户级别分批允许提币。所以当时散户基本都能正常提币，只是以太坊无法提取。那段时间我们的库存确实不足，客户提不出来。为此，我们要感谢 Grace，以及 Bitget、抹茶等交易所，还有一些做市商，他们一起帮我们把库存逐步补齐。有些是通过借贷，有些是直接交换，但主要还是依靠桥接模式。后来，我们满足了所有客户的提币需求，大约 12 小时后全面开放，连机构客户也能提币。现在，我们的现货流动性已经没有问题了。

Colin： 对，所以你们一开始的策略是优先开放散户提币，同时与机构客户进行沟通，是这样吧？不过现在已经完全开放了，对吗？

Shunyet： 是的，现在已经完全开放了。

Colin： 那么主要的流动性缺口是集中在以太坊上，对吧？除了 Bitget 和抹茶以外，还有哪些机构为你们提供了帮助？

Shunyet： 我不太确定是否方便公开具体名称，但大家熟知的那些大型 OTC 做市商基本都参与了支持我们。

Colin： 刚才 Grace（Bitget CEO）提到，Bitget 提供的资金完全不需要任何抵押，也没有利息，甚至连归还时间都没有明确要求。不过并不是每家都这样，对吧？有没有其他机构提出了一些相关条件？

Shunyet： 是的，我们得再次感谢 Bitget。其他的 OTC 做市商可能会要求一些抵押。比如，我们可以用公司的资金库作为担保，这部分资产完全足够覆盖那 15 亿美元的缺口。所以我们会通过可控的方式，比如抵押 USDT 或比特币来借入以太坊。但相比之下，Bitget 的援助金额较大，而且无需任何抵押，这一点非常突出。

Colin： 那么目前来看，你觉得整个事件已经基本平息了，对吗？另外，你们现在的流动性不再那么紧张，是不是因为整体氛围有所缓和，尤其是机构和大户的提币意愿没有那么强烈了？

Shunyet： 是的，我们这边有很多大户。所谓大户，有的交易量很大，有的则是在 Bybit 上存了不少资产。对于交易量大的那些客户，我们观察到，因为他们大多是做市商，他们可能会根据基金策略降低一些操作，但仍然有三分之一到一半的资金留在了交易所。至于那些持有大量资产的客户，他们的态度基本分为两种：一部分完全信任 Bybit，资金没动；另一部分可能会在短期内将资金转移到其他地方。不过，我觉得我们现在的高峰期已经完全过去了。

危机后如何恢复用户信任：透明化复盘、公开原因并强化安全措施

Colin： 对于 Bybit 来说，之前 Grace 好像提到过，这次黑客盗走的资金大约相当于你们一年的利润。那么目前来看，从安全公司或其他机构的角度分析，这笔钱很可能是朝鲜黑客所为，而且追回的可能性不大，对吗？这个判断是不是相对确定的？

Shunyet： 我们当然希望能追回来，但从 Lazarus Group 的历史来看，成功追回的案例非常少。我记得以前他们唯一被追回的部分，是他们提了一些币，比如 USDT 或 USDC，这些可以被冻结然后重新销毁。但 Lazarus Group 在早期可能会犯一些小错误，比如把资金存入小型交易所。那时候，Ben 和各交易所的领导关系很好，大家也都愿意帮忙冻结这些资产。可现在，我觉得 Lazarus Group 已经不会再犯这种低级错误了，所以追回的可能性确实非常低。

另外，我还看到很多人讨论，Lazarus Group 现在似乎是行业里第十四大以太坊持有者，有人提出是不是需要通过分叉（fork）来解决这个问题。因为一个被制裁的实体成为第十四大持有者，这看起来不太好。不过这不是我关注的重点，我们也在观察，但这种事情不是我们能决定的。

Colin： 明白了。还有一点，你们会不会担心这次事件发生后，整个公司乃至交易所的行业声誉受损，用户和机构的信任度下降？虽然我们知道安全问题可能是每家交易所都会面对的挑战，而且是一个持续的课题，但不少机构和个人已经在抱怨，觉得 Bybit 的安全性可能不够好，这会不会导致他们未来不再信任你们？

Shunyet： 嗯，好的，我从另一个角度来看这个问题。我是去年 8 月底才加入 Bybit 的，此前我的公司是 Bybit 的前三大客户之一，我自己也做过做市商。那时候我也见证过其他交易所的状况，比如 KuCoin、币安，当然还有 FTX 的崩溃。现在看来，币安的情况也不错。我们观察到很多交易所的情况，不得不承认，虽然有些用户的信任可能会动摇，但我们的应对是，首先要保持透明。我们会先调查到底是哪方面出了问题 — — 是合作的系统有漏洞，还是我们内部的规则出了错，或者是财务部门的问题，比如为什么没有将资产分散到多个系统？我们内部会进行一次彻底的复盘，然后再做决定。

等我们梳理清楚后，肯定会向大家公开，这样才能重建信任。我认为，要挽回局面，我们交易所的功能、产品和生态依然很有优势，但现在最重要的是信任。以前我们没被黑客攻击过，所以没遇到这个问题，但现在首要任务是重新赢得信任。要做到这一点，就需要非常透明，向大家解释事件为什么会发生、我们未来会采取什么防范措施。我觉得公司原本在这方面已经投入了很多资源，但今后可能需要做得更多。

Colin： 明白了。还有一个问题，你刚才提到 Bitget 主动提供了无偿支持。我看其他很多交易所，比如币安、OKX 等等，也都主动表示愿意提供流动性支持。他们有没有主动联系过你们，或者你们有没有主动去联系他们？

Shunyet： 有的。其实我在一些群里看到，很多家交易所都主动提出了帮助。不过，有些可能会要求押金或利息。很多 OTC 服务商跟我们合作很久了，知道我们的盈利状况，他们觉得这次黑客攻击虽然金额听起来很大，但最多也就是我们一年的利润。所以大家都认为我们还是值得信赖的，情况没那么糟糕。

当然，Bitget 的援助金额相对较大，而且条件也更宽松，这是很突出的。但还有很多其他机构也提供了支持。我以前经历过类似的情况，比如 911 事件时，我在华尔街工作，那时候雷曼兄弟连办公室都没了，其他公司却主动借办公室给竞争对手。所以，这次看到我们这几天很多竞争对手站出来说：“你们需要什么支持吗？有什么我们能帮的吗？”我真的很开心。这不是只针对客户，而是竞争对手之间也展现了这种态度。我觉得在加密货币行业里，这种凝聚力真的很特别。

Colin： 对，了解。用户现在当然可能觉得讨论这个还为时尚早，但我看到有用户在问，Bybit 未来有什么方式来挽回用户的信心？我觉得现在谈这个是不是有点早，你们当下针对这件事的目标是什么，后续需要做些什么？有没有一个规划，或者你能透露些什么？

Shunyet： 我们目前还在研究，但第一件事我刚刚提到过，就是要把信任放在首位。要重建信任，我们的安全性必须大幅提升，这是第一步。除此之外，我们会回归 Bybit 原本的有机增长模式，我们非常了解散户的需求，也很擅长服务散户和 VIP 客户。我认为时间是最好的工具，只要我们把这件事处理好，信任自然会回来。

Colin： 明白了。那现在整个公司的士气如何？面对这次人类历史上最大规模的盗窃案，公司内部员工的状态和士气怎么样？

Shunyet： Ben 是一个很特别的人，他总是专注于如何解决问题。他会问大家：我们现在的问题是什么？比如，是缺少库存，还是缺少信任，或者其他什么？我们各个部门会针对每一个问题成立专门团队来解决。现在的重点是我们要深入了解到底哪里出了错 — — 是我们的 SOP（标准操作流程）有问题，还是合作方有问题？先把这些问题解决掉。

第二步是，安全性提升之后，我们要确保流动性更好。客户来到我们平台，需要良好的流动性。所以我们会跟各个做市商沟通，看看他们需要什么支持，短期内有什么特别的协助方式能把这个做好，让用户体验逐步恢复到原来的水平。这是我们最直接的前进方向。

另外，我们也在考虑一些可能没想到的合作伙伴。因为这次事件，我们可能需要重新处理一些事务，甚至向大家披露更多信息。比如，我们的储备证明本来是一个月更新一次，现在我们考虑在这次事件处理完后再次发布一个，采取这些行动来增强透明度。

安全问题的改进讨论：多签管理、审批流程及员工管理

Mirror： 因为这次安全事件涉及多签的问题，我想问一下，你们针对多签会有专门的升级方案吗？之后会怎么处理？

Shunyet： 好的，我们一直觉得多签安全问题不算太大，因为我们用的是 Safe 这样的工具，应该挺可靠的，对吧？不过这次事件后，我们确实提出了几个解决方案。首先，不管用哪种技术，我们觉得它很安全，还是会继续使用多种不同的方式。另外，在多签管理上，现在签名权限集中在四五个人手上，未来可能会分散，比如将不同币种的权限分配给不同的人。还有，以后的冷钱包必须分散，不能再把这么大的资产放在一个钱包里。这些我们在讨论时都觉得很简单，事后想想，怎么之前没想到？但这就是我们未来一定会去做的事。

Mirror： 明白。有没有考虑过把冷钱包和热钱包的地址直接加入白名单，然后固定下来？

Shunyet： 这个可以考虑，但有时候这样会降低灵活性。不过，这确实也是一个解决办法。

Mirror： 嗯，对，因为我看到很多人提的方案是，你们可以先做一次预演，看看执行结果是否透明。我还觉得可以再往前一步，比如在执行签名之前，先进行一次检查，直接对字节码做详细分析和解析，再做一些预演。这样可能会缓解这类攻击的风险。

Shunyet： 嗯，这个建议我确实会带给我们的安全部门讨论。我的背景偏向交易，所以这方面我会交给专业团队去评估。

Mirror： 还有一个之前的事， 2022 年那起员工修改 Excel 表数据的事件 — — 虽然不算盗窃。那件事之后，你们有没有针对整个 CRS（客户关系系统）流程进行升级？

Shunyet： 有的。我觉得很多时候，发现问题后就要改进。那件事已经是很久以前了，当时我们就差不多改好了。现在我们的审批流程有了更多管控措施。因为一开始，我也遇到过这种情况，很多交易所的技术很先进，但中后台的系统或流程相对简单。我们公司成长很快，有些地方没做好，但现在各个部门都已经调整了。即使是一些很简单的内部事务，也需要走审批流程。有时候会觉得有点烦，但这样就不会再遇到类似问题了。

Mirror： 对，因为这一点其实挺关键的。交易所业务涉及到资金，检查的东西可能会更复杂。我还有一个问题，今年很多人提到 Bybit，实际情况也是如此，它抓住了很大红利，一跃成为三大交易所之一。这样会不会导致你们人员大幅扩张？会不会对现有的风控结构产生影响？

Shunyet： 其实 Bybit 的员工数量比我们的一些竞品要少一点，因为我们很注重选择符合 Bybit 文化的人。不是随便谁都能简单加入的，所以我们的招聘流程相对会比较长。我们业务发展很快，但引进人才的速度有时候会比业务增长慢。不过，不管是风控、业务还是产品方面，我们都在坚持这样做。

将联合外部团队追踪资金，回滚以太坊可能性低

Mirror： 好，那我就继续问了。刚才詹老师提到这笔钱可能找不回来，但我看了社区的一些讨论和黑客的操作，觉得即使找不回来，黑客想完全拿走这笔钱的概率也不高。不过，我看到社区有人说黑客在对这些以太坊做一些自毁的操作，想请 Ben 老板确认一下。

Ben： 我可以跟大家说一下我们现在在做的事。我们的安全团队已经联系了好几个外部合作伙伴，国内比较知名的慢雾也在配合我们进行全局追踪，包括和链上分析公司一起回溯当时发生了什么，试图弄清楚这次黑客事件到底是怎么发生的。到目前为止还没有定论，因为这次事件有几个可疑点跟以往不太一样。首先，它并不是我们的热钱包体系出了问题，而是我们用来存放多签冷签以太坊的供应商 Safe 出了状况。我们还不确定是他们的服务器有问题，还是我们每个签名的用户界面环节出了错。这是我们正在调查的第一个方向。至于你们提到的资金追踪，从我们角度看，这些以太坊要被洗出去没那么容易。我觉得这是一个漫长的过程，黑客会慢慢尝试各种洗钱手段。这次事件规模很大，但让我感到庆幸的是，整个行业非常团结，大家都在帮我们，我们很感激。

其实，只要黑客把资金转移到某个跨链桥，我们几乎能立刻定位到，然后请跨链桥协助冻结。所以这 15 亿美元要完全洗干净，我认为需要很长一个周期。其次，关于自毁，我们没看到任何迹象。他费那么大劲偷过去，为什么要自毁呢？

Colin： 不是自毁，是 Mantle 那边抢救了这笔钱。

Ben： 对。如果黑客现在尝试任何再质押协议，我们应该都能采取一些手段应对。所以他现在也在跟我们对峙，我们请了一堆人盯着他，他目前处境也有点尴尬。最后，确实有人，包括一些头部项目和网上几个大 V，提出以太坊能不能考虑整体回滚。但大部分观点认为，上次回滚是因为 30% 的以太坊被盗，而我们这次虽然金额很大，但占总量只有 0.3% 到 0.4% 左右，所以他们应该不会考虑回滚。不过我们也在尝试联系 Vitalik（以太坊创始人），看看他能给我们什么建议。

Colin： 那你会要求或请求他去做回滚吗？

Ben： 我们会跪求他们伸出援手，哈哈。但能不能配合，就得看他们的考量了。

危机的具体应对：如何恢复流动性、优化安全策略及后续计划

Colin： Ben，我刚才其实也问过詹老师了。现在你觉得流动性已经完全恢复了吗？包括 Grace 之前提到，可能你们已经不太需要外部支持了。

Ben： 对，我得在这里特别感谢那些迅速伸出援手的伙伴。Bitget 应该是第一个帮我们的，而且完全没提任何条件，真的就是拔刀相助，连合同都没签，直接就提供了帮助，非常感谢。还有抹茶和派网，这三家一直在借给我们以太坊，真的帮了大忙。

现在我们的整体情况已经完全稳定了。大概在 12 小时左右，我们的出入金水位就恢复正常。我当时在 Twitter 上发了消息，我们的出金系统已经没有任何积压，所有出金请求都处理完了。现在跟事件发生后的第二个小时 — — 也就是最高峰时期相比，系统面临的不是出金压力，而是整体抗压能力的问题。

出金系统从来没见过这么多人同时提币。当时我们做了系统维护，调整了链上手续费，优化了风控体系，还处理了一堆相关事务。同时，我们在后台联系人借以太坊来补缺口。现在，整个流动性已经完全没问题了。

Colin： 你们之前有没有演练过类似场景？比如一旦发生这种事，第一步、第二步应该怎么做？

Ben： 对，我觉得很多人，包括网上大部分评论都说，这次事件虽然很不幸，但我们的危机公关做得还不错。有人说我指挥起来比较冷静，我觉得这不是因为性格，而是我们有很多工具让我保持冷静。我们的风控水位和财务系统的财务状态是精确到分钟级的，所以我们随时知道系统运行到了哪一步，客户的出金状况如何。

这让我们处理得比较有序。这些数据化、可视化的看板能让我们一步步规划下一步行动。比如在出金时，我们先处理小额客户，让他们全部出完，然后逐步往后排。还有，我们会根据不同链的情况调整 — — 哪条链上有资金，哪条链上没有，怎么调配。这在我看来，是数据化让大家能有序地推进后续工作。相比之下，FTX 当时很乱，可能是因为他们没有任何工具来辅助决策，这就比较不幸了。当然，在公司层面，我们对所有危机都做过演练，不管是被盗还是系统崩溃，每个月都有内部所谓的 P-1 级演练。

Colin： 明白了。那么现阶段接下来的计划是什么？比如未来一天、三天、一周、一个月，你们有没有一些重要步骤要陆续展开？

Ben： 对，现在我们分成几个不同环节。首先是安全方面，第一步是要查清楚到底发生了什么。第二步是追踪资金，我们会配合外部团队，甚至跟 Safe 一起协作，弄清楚事情经过，尽量控制损失（damage control）。其次是财务方面，对于我们现在临时借来的资金 — — 不是跨链桥，英文叫 bridge loan，中文就是临时借款 — — 我们会尽快通过 OTC 交易等方式把这些钱还上。同时，我们现在更关注出金水位的变化，不过目前看，客户的恐慌已经过去了。

从业务层面，我们最关注的是这件事对业务的影响，比如我们流失了多少用户、多少 VIP 客户、多少机构。我们希望第一时间根据影响报告来制定下一步决策。比如，哪个国家的用户流失最多？我们该怎么让这些国家的用户了解现在的情况，知道我们平台其实没问题，我们的热钱包和数据体系都正常运转。这一块后续也会基于数据来推进下一步计划。

Colin： 好的，了解。其实第一时间大家讨论比较多的是 CZ（币安创始人赵长鹏），他建议你们暂停提币。我猜他可能是希望你们做一次安全检查，以防还有其他漏洞。我不知道你们当时为什么没采纳他的建议，你们是怎么考虑的？会不会担心还有其他潜在问题？

Ben： 对，其实当时 CZ 和其他一些友商，比如币安，都发出了愿意帮忙的信号。不过他们发消息后，我大概过了半小时才注意到，因为当时 Twitter 都炸了，我还在忙着直播。我觉得从他们的角度看，这个建议很正常。如果不清楚黑客事件的具体情况，可能会以为是我们的热钱包出了问题。如果真是热钱包的问题，那肯定得冻结所有出金。但我们这次事件不同，我们的出金体系完全没出问题，内部系统运行正常。只是用在多签上的工具被盗了 — — 你可以理解为一个外部工具出了状况。所以我们剩下的部分都能正常运转，不需要额外花精力去停摆。第一时间锁定问题后，慢雾一看就说：“你们剩下的部分完全没问题。”所以我们才能放心做这个决定。

相比之下，其他交易所被盗时，大多是内部代码或流程，甚至员工操作出了问题。但我们第一时间排除了这些可能性，因为签名都是由我这样的创始人级别人负责，内部问题直接被否定了。这让我们能放心维持出入金体系的正常运行。所以我觉得 CZ 的建议也没什么不对，只是我们的情况不一样。

安全漏洞来源分析：内鬼、木马、Bybit 内部或 Safe 代码库漏洞？

Colin： 还有一个点，现在虽然最终的安全报告还没出来，但有一种说法是你们好几个人的用户界面都被攻击了，会不会存在内鬼之类的情况？

Ben： 对，我认为任何可能性都要逐一排除，目前还没完全排除。我们第一时间采取的是取证措施，把每个操作人员的电脑备份下来，记录所有当事人的操作环节，保留证据。这些资料后续会交给警方、外部安全协助方和我们内部调查团队使用。现在看下来，所有的操作跟以往相比没有太大区别。但诡异的是，我们的安全协议里有好几个必须检查的环节，比如 URL，这些我们都做了。

到今天为止，Safe 的多签系统是否还在冻结状态我不确定，他们可能也在调查。这件事他们也不敢立刻下结论，到底是他们的服务器被劫持然后影响到我们，还是我们每个人的电脑出了问题。而且，我们发现每个人都在不同地点、不同网络环境下，感觉很难被远程控制。各种可能性都有，但现在没办法确定排除哪一种，所以还在查。

Mirror： 所以 Ben 老板，你的意思是设备上没发现木马痕迹，对吗？

Ben： 对，我们检查过了，所有参与签名的人的电脑上都没有木马。当然，这是我们安全团队第一时间排查的结果，会不会有特别厉害的木马我们还没发现，这个也不确定。所以我们先做了取证，把电脑都封存，留下了镜像等数据。

Hao： 我看到 Safe 好像发声明说他们的代码库没有漏洞。我在想，如果是常见的 APT（高级持续性威胁）攻击，比如渗透攻击，假设你们某个员工或高管的终端被突破了 — — 比如通过社工钓鱼 — — 那也只是内网的一个接入点。我好奇的是，黑客怎么能从内网一个小点层层渗透到你们那么高级的系统？这过程中，你们的安全预警机制难道都失效了吗？这么长时间没有一点提示？你们接下来会不会针对性地去查？

Ben： 首先我想让大家理解一下我们的情况。我们有一套完整的出金体系，包括热钱包和温钱包。热钱包是自动处理出金的，而温钱包需要人工签名，这是我们自己研发的一套系统。当我们有一些额外的储备时，会放到冷钱包里。你可以把冷钱包想象成汇丰银行。这次事件就是“汇丰银行”这边出了问题 — — 我把钱往回拿的时候被拦截，导致全部被盗。所以刚说的黑客渗透我们的体系，其实完全没有。这也是为什么我们能一直保持出金不间断，我们内部正常的出金体系没有任何问题。

我们确实经常面对渗透尝试。我们有一整套防护措施，比如在系统里设置了很多蜜罐（honeypot），还有白帽团队和红蓝队互相攻防。甚至我们的红队会不时给员工发钓鱼邮件，测试他们是否按安全手册操作。这是交易所的日常工作。但这次不一样，黑客没攻进我们的内部系统。你可以理解为，我们把钱放到了 Safe 这个冷钱包服务商提供的东西里，这次最大的挑战是外面的问题。回到你的问题，它不是从我们这边攻进来的，而是通过外部的多签环节。我们有四个人负责签名，包括我在内，其他几位我不方便透露，但都是这个级别的人。

最诡异的是，我们都在不同的网络环境，电脑也定期排查，事后也没发现木马。我们签名时不在同一个地方，甚至不在同一个国家，是一个人签完后下一个再签，每次都会检查 URL 之类的东西。所以现在我们还在排查到底是哪个环节出了问题。我跟 Safe 合作，但不是指责他们，我们也不确定问题出在哪。他们没找到原因，我们也不知道。最终结论是什么还不清楚，就是这一块到底怎么出问题的。

问题讨论：资产保障、团队响应

Colin： 还有一个问题，不知道 Bybit 方不方便回答：你们日常用于流动性或储备的自有资产大概是什么规模？像之前提到 Bybit 一年利润可能有 15 亿美元，但你们每年肯定会分红或用于其他开支，公司整体资产够填补这 15 亿美元的窟窿吗？

Ben： 公司的资产绝对是大于这个数额的。我发过一条 Twitter，你们可以去看，我们的审计机构已经站出来说话了。这个审计机构审查过我们的财务和公司账户。我的 Twitter 上有一条消息，是 Hacken 他们帮我们做的审计。他们见过我们的资金账户，也就是 Treasury 账户。第一时间他们就表示愿意发声，但需要我们同意。当时我忙着，过了两三个小时后我说没问题，他们就发布了声明，证明他们审计过我们的 Treasury，确认我们的现金和代币储备完全可以覆盖这 15 亿美元的损失。

Colin： 那么对公司来说，你觉得现在整体士气如何？员工的状态怎么样？

Ben： 我挺庆幸的，我们团队的执行力和文化让我很欣慰。事件发生后，所有人几乎第一时间赶到办公室。因为 Bybit 是中心化办公，我当时在新加坡做直播，我们在新加坡的一整层楼几乎都坐满了人。安全团队、直播团队、媒体、公关，甚至法务，全部在线。新加坡警方在我们报警后，凌晨三四点就赶到了，今天早上甚至国际刑警也来了。整体响应速度非常快，至少我能看到的几十个直接向我汇报的人，基本一整晚没睡，一直在联系各方。

我觉得最辛苦的是客服团队，他们全員在线回复客户问题。风控人员也在全力处理出金请求，公关团队和其他部门的负责人几乎都在岗。产品和技术团队也在维护系统稳定性，当时我们担心会引发其他系统崩溃。我第一时间给全公司发了封内部信，说未来 24 到 48 小时会非常艰难，但希望大家保持冷静，以专业的态度处理这件事。同时要保持在线，让客户能联系到我们。我觉得在这种时刻，在线和可联系是最重要的，包括我们的机构团队，因为很多机构客户也很担心。现在我刚睡了两个小时，有些人也稍微休息了一下。整体状态还是比较亢奋，因为手头还有很多问题要解决。

我觉得最困难的时候已经过去了，流动性已经彻底恢复了。现在客户的出入金完全正常，跟之前一模一样。

Colin： 了解。也就是说，接下来可能更重要的是两方面：一是全面安全检查，二是恢复机构和用户的信任，主要沿着这两条线走，对吧？

Ben： 对，我觉得你说得没错。接下来第一个问题是，我们的以太坊多签怎么办？现在还在用 Safe，但我们已经把资金挪到自己的热钱包，这显然不是长久之计，得解决这个问题。下一步肯定是业务层面，我们会通过内部 BI 团队的影响报告，评估这次事件对整体的影响，然后制定下一步的运营方案。

Mirror： 我刚才看了 Ben 老板发的那个 Hacken 的证明，上面写的市值是 79 亿美元。这个指的是什么？是之前说的 Bybit 自有资产还是客户资产？

Ben： Hacken 他们帮我们做了审计，把用户资产和我们内部资产分成了两部分。他们公布的是客户资产这一块，但也审查了我们内部的资金库。不过具体的数字没写出来，因为那是我们的内部数据。他们承诺的是，他们已经确认过，能够保证我们的资产完全可以覆盖这次的损失。这是他们当时发的帖子内容。

Ben 感谢行业支持，将持续优化安全与危机管理

Colin： Ben，我看网上不少人，特别是华语圈的项目方创始人，还有西方社区，大家都挺支持 Bybit 的。比如杜均、元杰他们也在把以太坊打回 Bybit 账户。你想不想对他们表示一下感谢？

Ben： 对，我真的非常感谢。这次事件中，很多合作伙伴都站了出来，有的甚至随时待命。从钱包相关的，像 Fireblocks、Chainalysis，到其他团队 — — 我现在有点记不清都有谁了，因为有些人直接联系我，有些找我们团队。总之，我们感受到整个行业在不同环节的支持，都在用各种方式帮我们。你刚刚提到的，国内知名的几个平台，比如 Bitget、抹茶、派网，都主动联系我们，直接提供了借贷支持。币安也联系过我们，我们还在沟通，但最后我们已经借到了足够的金额，就没再麻烦他们。还有其他交易所，我们的合作伙伴，以及各种网络和做市商，几乎都在提供协助。所以真的非常感谢。

Colin： 对，希望 Bybit 能从这次事件中恢复过来。这次损失毕竟挺大，你觉得这件事对 Bybit 未来的发展会有什么影响吗？会不会带来一些思路上的改变，或者未来会有什么具体的调整？

Ben： 说实话，我还没来得及深入思考这个问题，但肯定会对我们有很大影响。从安全层面，比如钱包部署，我们可能会做得更谨慎。这次危机应急中我们也发现了一些问题可以优化。比如出入金系统在高流量下的表现，风控体系在大量标签时有点混乱，导致整体效率不够理想。还有，我们的 P-1 级响应虽然很快 — — 我们有演练，按一个按钮，全公司几乎都能收到电话和短信通知，迅速上线 — — 但在某些环节，比如这么大的事件发生时，安全负责人有没有分工明确？这些我们后续会做一个完整复盘，优化内部管理。

整体来说，不幸中的万幸是，这次事件我们还能扛下来。我不敢想象，如果损失达到 100 亿美元这种量级会怎样，可能得考虑卖公司了。但这次我们扛得住，所以我还没想那么远。不过从这个角度看，我们下一步会调整所有流程，假设这类事件再次发生，我们能不能扛住，并为此做一些改变。

Colin： 对，很多人都说，Bybit 历史上不像其他交易所那样，至少公开披露中没发生过类似盗窃案。但这次一发生就成了史上最大的一次，会不会因为之前没遇到过，内部有些放松警惕？

Ben： 我觉得肯定有我没做好的地方。比如，我们的冷签完全可以分散到几个钱包，不至于把所有以太坊放一个钱包里。这次算幸运，我们的 USDT 也在 Safe 的一个钱包里，差不多 30 亿美元，是以太坊的两倍。但那个钱包因为 USDT 储备充足，基本没动过。我猜黑客可能等了一阵子没耐心了，或者不敢动 USDT，因为 USDT 容易被冻结。所以事后看，有几个简单的方法可以规避。

第一，为什么要把 15 亿美元放一个钱包？分成五个不行吗？至少损失不会这么集中。可能因为我们从没被盗过，对出入金体系太自信，就没在这环节多想，更多关注签名环境和电脑安全。我觉得这是个思维转变，不再是想着如何永远不被盗，而是假设会被盗后，怎么确保损失不至于让我们一无所有，而是控制在能承受的范围。

Colin： 对，虽然金额很大，但像你说的，不幸中的万幸，公司还能扛住。希望你们能尽快恢复。

Ben： 好，谢谢大家的支持。