到底誰該為 15 億美金負責？深扒 Safe 安全問題下的行業隱患

作者：Fairy，ChainCatcher

編輯：TB，ChainCatcher

史上最大盜竊案Bybit被盜 15 億美金，最終問題竟然出現在以太坊最信任的Safe？Safe最終還是沒能像他名字一樣Safe。

作為EVM上最大的智能帳戶生態系統，Safe托管著超800萬個智能錢包，存儲著千億美元的加密資產，200多個項目在其基礎上構建。許多 DAO、基金會、大型NFT項目，都將其視為"保險櫃"式的底層托管方案。這樣的頂級安全基建也能被打臉， 加密 安全究竟何去何從？

Safe 黑客可以盜所有人的錢？

根據調查報告，並不是Safe智能合約或前端代碼本身存在漏洞，而是攻擊者通過入侵Safe{Wallet}開發者的設備，發起了偽裝的惡意交易。攻擊者將惡意代碼注入前端，攔截並篡改交易參數，從而實現了資金竊取。

也就是說，理論上Safe 黑客可以針對不同用戶注入不同的惡意代碼，這意味著所有依賴它前端、API等用戶交互服務的項目都可能面臨類似風險。然而，攻擊者選擇了Bybit這一"最肥的羊"作為目標，其他用戶因此暫時幸免。

再換而言之，不僅僅是外部黑客，Safe團隊的內部成員，理論上也有可能利用類似這次手段盜取Safe中的資金。

Bybit 攻擊事件流程圖，圖源：SlowMist

誰的責任？誰賠償？

Safe安全性直接關係到行業的大半江山。如果類似的事件發生在我們身上，我們能指望像Safe這樣的錢包工具進行賠償嗎？我們從Bybit事件來看Safe的態度。

查看Safe使用前的條款和條件，我們發現其在第18條中寫道：

（1）如果 Safe{Wallet} 應用程序或服務是免費提供給用戶的，則 CC 僅在故意、重大過失 或 CC 欺詐性地隱瞞 Safe{Wallet} 應用程序或服務可能存在的重大或法律缺陷的情況下承擔責任。

（2）如果 Safe{Wallet} 應用或服務未免費提供給用戶，則 CC 僅在符合第（1）條的情況以及因違反基本合同義務而導致的損害賠償責任的情況下承擔責任。CC 的責任僅限於對可預見的、通常發生的損害賠償。賠償金額通常不超過用戶在損害事件發生年度內向Safe支付的費用總額，因違反非基本合同義務而導致的損害賠償責任不包括在內。

此外，其還在第20條中寫道：

如果由於超出我們合理控制範圍的行為（包括不可抗力事件的發生）導致我們未能提供服務或履行本協議中的義務，或導致服務的提供延遲，則我們不對您承擔責任，也不視為違反本協議。

"不可抗力事件 "包括但不限於：恐怖襲擊、黑客攻擊或網絡威脅、內戰、騷亂或暴動、戰爭、戰爭威脅或戰爭準備、武裝衝突、實施制裁、禁運或斷交。

從條款來看，責任界定較為模糊。如果Safe承認此次事件屬於重大過失，那麼它將承擔責任。然而，根據第20條，如果黑客攻擊被視為"不可抗力事件"，Safe則不需要為未能履行協議中的義務負責。

社區成員也發表了相關觀點：

• DeFiance Capital創始人Arthur表示："不會也不需要賠，本來就是免費的服務，不適於管理機構級別的資金。我幾年就開始說了一個普通多簽錢包是不足以管理巨額款項的。"
• X平台用戶@jiyang0924表示："Safe 恐怕一分錢也不用賠，之前在CEX打工了解過所有供應商包括 Cobo 和 Copper 在服務協議裡都有免責條款的。當然我理解從實踐上托管方也不可能承諾賠付否則風險收益不對等。"

Safe法律責任上或許可以規避，但從道義角度來說，Safe應當考慮做出一些賠償。

然而，至今為止，他們並未提及過此事….

安全 之路遠 矣

雖然Safe採取了全面的應對措施，重建了所有基礎設施。但該事件還是為整個加密行業敲響了警鐘，它揭示了一個殘酷的現實：安全不僅僅是技術問題，更是生態問題。

問題的核心在於：必須建立多層次的驗證和審核流程，同時加強自有資產的監控與預警機制。依賴單一軟件或平台來處理數億甚至數十億級別的財務流程，無異於在懸崖邊跳舞。大額資產的安全管理模型亟需一次徹底的升級。

安全，是加密行業最該深耕的賽道。智能合約的安全並不等同於絕對的安全，供應鏈攻擊、內部威脅、人為失誤都可能成為致命弱點。對於我們個人而言，現在是時候重新審視大額資金的存放方式，以及鏈上理財和質押的安全性了。每一次危機都是一次提醒：資產安全，永遠不能掉以輕心。

此前 Safe 聯創Lukas Schor 在採訪中說道， 要 在三年內， 讓 所有的鏈上錢包都將成為智能錢包 。 那麼，這個目標現在還能實現嗎？