區塊鏈日報、CoolWallet吵架懶人包：雙方隔空交火，究竟吵什麼？

日前台灣加密貨幣題材 Youtube 頻道《區塊鏈日報》在 2 月 24 日的影片中，指出交易所 Bybit 被盜事件，使用的是台灣冷錢包商 CoolWallet 的冷錢包。藉此話題，正在推廣另一冷錢包品牌 Ledger 的《區塊鏈日報》創辦人 Derek 表示，Ledger 的 Clear Signing 功能，能讓使用者更清楚自己簽署的智能合約是什麼，就不會發生這樣的事情。此說法也引起了 CoolWallet 不滿，指稱 Bybit 直播中提及使用的明明是 Ledger 錢包，為何無故牽扯 CoolWallet。

這場社群事件到底在吵什麼呢？Bybit 使用的又是哪個簽名裝置呢？事實是一場張飛打岳飛的鬧劇嗎？

---

Derek：若使用 Ledger 的 Clear Signing 不會有問題

在「Bybit被盜點燃以太幣瘋牛漲勢」影片 6：20 處，Derek 表示就他所知，Bybit 使用的是 CoolWallet 冷錢包。不過底下也有觀眾反應 Bybit 似乎沒有提及使用的是 CoolWallet 冷錢包，Derek 則回覆使用哪個冷錢包不重要，重要的是若有 Ledger 的 Clear Signing 功能就不會有問題。

---

事實是什麼？Bybit 使用的是 Ledger 冷錢包簽署多簽交易，並非 CoolWallet

• 交易所 Bybit 在事件中是使用一個熱門的多簽智能合約錢包服務 Gnosis Safe，來管理資產。這個多簽智能合約錢包需要多重簽名的許可才可以完成交易。
• Bybit 在上述的多重簽名流程中，使用的是 Ledger 冷錢包來執行私鑰簽署。這一點不僅是 Bybit 提過， Gnosis Safe 也在事件後暫時停止支援 Ledger。

• Bybit 被盜是因為 Gnosis Safe 的多簽交易前端 (網頁顯示內容) 遭駭，用戶都以為是正確地址。若用來簽署交易的冷錢包僅有盲簽 (blind signing，並無法得知完整交易訊息)，將增高惡意交易風險。(手法詳見：Bybit 遭駭事件剖析：駭客手法與 Radiant Capital 攻擊模式相似？)

因此可知，Bybit 並不是使用 CoolWallet 冷錢包，此外，被盜事件也並非單純的冷錢包儲存功能差異問題所造成。

另一方面，CoolWallet 也節錄 Bybit 的直播，該段影片中明顯表示使用的是 Ledger 冷錢包。隨後 CoolWallet 官方也數次在 Threads、Youtube 等公開場合，以及私訊 Derek 的 Instagram 等方式，要求區塊鏈日報澄清相關消息。

---

《區塊鏈日報》Derek：不理解為何官方如此糾結

2/25 區塊鏈日報開啟了直播，談論到相關問題。Derek 表示 CoolWallet 的私訊被歸類到 spam，隨後官方以強硬的態度私訊了一個非官方粉絲團，表示公司法務等都已關注此事件。從 Derek 提供的截圖上可以看到，CoolWallet 請 Derek 解釋「其他人是使用 Cool Wallet」這句話的依據，Derek 表示自己是從 X 上看到的，並詢問 CoolWallet 還希望他做什麼？

CoolWallet 進一步詢問 Derek 具體是從哪個 X 貼文得知的，但並未得到明確答案。

Derek 回覆：「我試著找過，但找不到了或許他們的信息是錯誤的。但到目前為止我頻道上千個留言沒有一個質疑到你們品牌產品的安全性。我也從來沒有質疑過你們品牌產品的安全性，你們的官方帳號是唯一一個注意到那句話的。我對說出有出入的錯誤信息跟你們道歉。我不太明白你們如此糾結這件事情的原因？因為在我這裡沒有任何一個因為我說錯話關於你們產品的負面留言。」

而 CoolWallet 官方則認為：「找不到並且無法驗證的資訊，就不應該隨口說出。你面對的是 16 萬的訂閱戶，做的是區塊鏈的分析，未有事實佐證的資訊是可以隨口說出的嗎？」

事件一出，有人認為 CoolWallet 官方反應太過，也有人認為在捍衛自己商譽方面馬虎不得，且 Derek 確實是在影片中散播未經證實的消息，誰對誰錯就交由讀者判斷了。

(註：據鏈新聞向 Bybit 相關人士求證，也並未聽過使用 CoolWallet 此一說法)

---

Clear Signing 能否阻止 Bybit 遭駭？

這個問題並沒有絕對的「是」或「否」。如果 Bybit 的多重簽名機制完全整合 Ledger Clear Signing，並且所有簽署者都使用 Ledger 設備及支援該功能的軟體，那麼駭客的攻擊將變得更困難。簽署者將能夠清楚看到交易的實際內容，例如資金發送地址或合約變更，而非經過偽裝或遮掩的版本。這種透明度可能會讓問題浮上檯面，阻止資金被竊。

然而，仍有幾個變數需要考量。此次駭客攻擊並不僅僅依賴盲簽，還涉及受感染的端點（compromised endpoints）以及可能的內部人員涉入，顯示出更廣泛的安全漏洞。此外，根據 X（前 Twitter）上的討論與網路報導，Bybit 所使用的第三方軟體並不支援 Clear Signing，這給駭客提供了可趁之機。即使某些最終簽署者使用了 Ledger 設備，但如果提供交易數據的軟體本身已遭入侵，那麼 Clear Signing 的效果也會被削弱。畢竟，它的安全性取決於整個系統的完整性。

---

Clear Signing 是解方，還是只是輔助工具？

Ledger 執行長 Pascal Gauthier 及其他專家認為，Clear Signing 若能搭配強大的治理機制與企業級安全措施，確實能降低這類風險。在 Bybit 遭駭後，Ledger 強調其技術必須在整個生態系統內被全面採用，並批評部分合作夥伴未能妥善整合此技術。然而，Reddit 等平台上的批評聲音指出，Ledger 設備本身並非萬能，特別是當涉及複雜的企業級交易時，若使用者介面 (UI) 或相關軟體存在漏洞，單靠硬體錢包並不足以保障安全。

---

技術是關鍵，但執行更重要

理論上，Ledger Clear Signing 確實可以幫助阻止 Bybit 遭駭，因為它能讓簽署者看到真正的交易細節。然而，在現實中，Bybit 需要擁有一個完全兼容且未遭入侵的安全環境，才能真正發揮 Clear Signing 的效力。再先進的安全技術，若未能在整個系統內徹底落實，仍然難以發揮應有的作用。加密產業仍在透過這些慘痛的經驗學習這個教訓。

據稱 CoolWallet 在此次事件後，表示將近快推出能夠避免盲簽，讓用戶可以得知完整交易訊息的功能。

• 本文經授權轉載自：《鏈新聞》