【明報專訊】今年2月21日,全球第五大加密交易所Bybit被黑客入侵,損失價值15億美元的以太幣,創下歷史上最大規模虛擬資產盜竊案。事件引致以太幣單日下挫18%,牽連比特幣也下跌12%,超過3000億美元加密幣市值蒸發。這次幣災暴露了中心化交易所的一些系統風險,同時迫使業界正視一個根本問題:去中心化理想與中心化託管,是否不可解決的「矛盾」?
根據虛擬資產保險公司Oneinfinity的報告,黑客首先部署惡意智能合約,以置換原有Safe錢包的操作系統,再透過Safe App前端攻擊進行簽名釣魚,Bybit的3名簽署者在Safe App上看到正常交易訊息,然後簽名,但他們實際簽署的是容許惡意合約將錢包升級的交易,當時Bybit團隊正在進行常規的冷熱錢包交易。CEO周雨辰也透露,他當時是使用Ledger設備簽署交易,但因為顯示的交易詳細資訊非常密集,難以閱讀,所以沒有清晰地看過所簽的內容。
問題在於中心化的託管模式,儘管Bybit 宣稱將90%以上資產存放在冷錢包,但仍須熱錢包應付日常流動需求。此次被盜的15億美元,可能反映交易所為追求交易速度,而妥協在安全邊界上。
短期內,事件引發兩大效應,包括機構撤資潮,多家基金暫停與Bybit的造市合作,轉向其他受美國監管的平台,交易所面臨信心考驗。另外可以預期監管會加緊壓力:例如歐盟MiCA框架中的「錢包儲備證明」條款,或者其他監管地區的資產服務平台VASP牌照。
Bybit事件撕開加密貨幣「去中心化」的外衣,揭露兩大矛盾:首先是託管模式的悖論,中心化交易所CEX本質是「中心化平台交易去中心化資產」,這引致「單點故障」風險。另一方面,儘管DeFi倡導用戶自行託管私鑰,但複雜的鏈上操作,令很多散戶難以接受,形成「去中心化悖論」:愈追求安全和便捷,愈依賴中心化託管。
要重建市場信心,可以從技術與制度兩端突破,包括組合拳式的安全措施,除了普及多重簽名與安全多方計算MPC技術,消除單一私鑰的單點風險,也要設定簽名門檻,和使用高度保安的簽名設備,確保「所見即所簽」。DeFi託管方面,亟需簡化用戶介面,開發直覺化的自管錢包工具,降低散戶使用門檻。監管方面可以聚焦技術審計,各地監管機構將「私鑰管理流程」與「鏈上風控模型」一併納入合規審查,再加上儲備證明。
Bybit事件既可以是加密市場的「雷曼時刻」,也可以是產業進化的催化劑。當中心化交易所不再以「銀行級安全」自居,當投資者意識到私鑰自主的重要性,這場危機可能推動託管模式從「信任中介」轉向「信任最小化」。這樣,加密產業才能真正實踐中本聰的初心:讓每個人主宰自己資產的自由。
亞洲金融科技師學會副主席 暢銷書《新金融啟示錄》作者 香港大學專業進修院兼職講師