到底谁该为 15 亿美金负责？深扒 Safe 安全问题下的行业隐患

作者：Fairy，ChainCatcher

编辑：TB，ChainCatcher

史上最大盗窃案Bybit被盗 15 亿美金，最终问题竟然出现在以太坊最信任的Safe？Safe最终还是没能像他名字一样Safe。

作为EVM上最大的智能账户生态系统，Safe托管着超800万个智能钱包，存储着千亿美元的加密资产，200多个项目在其基础上构建。许多 DAO、基金会、大型NFT项目，都将其视为“保险柜”式的底层托管方案。 这样的顶级安全基建也能被打脸， 加密 安全究竟何去何从？

根据调查报告来看，并不是Safe智能合约或前端代码本身存在漏洞，而是攻击者通过入侵Safe{Wallet}开发者的设备，发起了伪装的恶意交易。攻击者将恶意代码注入前端，拦截并篡改交易参数，从而实现了资金窃取。

也就是说，理论上Safe 黑客可以针对不同用户注入不同的恶意代码，这意味着所有依赖它前端、API等用户交互服务的项目都可能面临类似风险。然而，攻击者选择了Bybit这一“最肥的羊”作为目标，其他用户却因此暂时幸免。

再换而言之，不仅仅是外部黑客，Safe团队的内部成员，理论上也有可能利用类似这次手段盗取Safe中的资金。

Bybit 攻击 事件 流程图，图源： SlowMist

Safe安全性直接关系到行业的大半江山。如果类似的事件发生在我们身上，我们能指望像Safe这样的钱包工具进行赔偿吗？我们从Bybit事件来看Safe的态度。

查看Safe使用前的条款和条件，我们发现其在第18条中写道：

此外，其还在第20条中写道：

从条款来看，责任界定较为模糊。如果Safe承认此次事件属于重大过失，那么它将承担责任。然而，根据第20条，如果黑客攻击被视为“不可抗力事件”，Safe则不需要为未能履行协议中的义务负责。

社区成员也发表了相关观点：

Safe法律责任上或许可以规避，但从道义角度来说，Safe应当考虑做出一些赔偿。

然而，至今为止，他们并未提及过此事....

虽然Safe采取了全面的应对措施，重建了所有基础设施。但该事件还是为整个加密行业敲响了警钟，它揭示了一个残酷的现实：安全不仅仅是技术问题，更是生态问题。

问题的核心在于：必须建立多层次的验证和审核流程，同时加强自有资产的监控与预警机制。依赖单一软件或平台来处理数亿甚至数十亿级别的财务流程，无异于在悬崖边跳舞。大额资产的安全管理模型亟需一次彻底的升级。

安全，是加密行业最该深耕的赛道。智能合约的安全并不等同于绝对的安全，供应链攻击、内部威胁、人为失误都可能成为致命弱点。对于我们个人而言，现在是时候重新审视大额资金的存放方式，以及链上理财和质押的安全性了。每一次危机都是一次提醒： 资产安全，永远不能掉以轻心。

此前 Safe 联创Lukas Schor 在采访中说道， 要 在三年内， 让 所有的链上钱包都将成为智能钱包 。 那么，这个目标现在还能实现吗？