Understanding the Bybit ETH Multisig Wallet Hack: A Simple Explanation

deutsche version am ende

Let’s break down the Bybit ETH multisig wallet hack in a way that’s easy to grasp, even if you’re new to cryptocurrency, blockchain, or smart contracts.

By the end, you’ll see what happened and why it’s a big deal—without needing a tech degree!

The Safe Analogy: What’s a Multisig Wallet?

Picture a high-tech safe filled with money (in this case, Ethereum, or ETH, a type of cryptocurrency). This isn’t just any safe—it’s a multisig wallet, meaning it needs multiple people (let’s call them managers) to agree to open it. Imagine there are three managers, each with their own unique key. All three keys must be used together to unlock the safe and move the money. This setup makes it super secure because no single person can run off with the funds—it takes teamwork.

In the crypto world, this safe is called a “cold wallet” because it’s kept offline, like money locked away in a vault, not touched unless absolutely necessary. The Bybit ETH multisig cold wallet was one of these ultra-secure safes, designed to protect a large amount of ETH.

The rules for opening the safe are written in a smart contract—a computer program that’s locked in once it’s created. Think of it like a vending machine: you press a button, and it always does the same thing (like dispensing a soda). The smart contract says, “Only send ETH if all three managers approve.” Simple, secure, and unchangeable—unless the contract has a special feature.

Sometimes, smart contracts include a “secret button” that lets you tweak the rules (like changing the managers or how much money can be moved), but only if all the managers agree and use their keys to press it. This is where the trouble started.

The Hack: How Did the Thief Get In?

About an hour before the announcement (shown in the screenshot you described), something went wrong with the Bybit ETH multisig cold wallet. The managers thought they were approving a normal transaction—like moving some ETH to a “warm wallet” (a less secure wallet used for everyday operations). But instead, a hacker tricked them into pressing that secret button and handed over control of the safe. Here’s how it went down:

1. The Fake Interface (Phishing Trick)The hacker created a fake user interface (UI)—the screen the managers use to approve transactions. It looked exactly like the real one, even showing a trusted website address tied to “@safe” (a legit platform for managing crypto wallets). It’s like getting an email that looks like it’s from your bank, but it’s actually a scam. The managers saw the correct details on their screens: “Move X amount of ETH to this warm wallet.” Everything seemed normal, so they used their keys to sign off on it.
2. The Hidden TrapHere’s the catch: the “signing message” (the instruction they approved) wasn’t just about moving ETH. Hidden in it was a sneaky command to change the smart contract’s rules. It’s like signing a contract to pay a supplier $100, but the fine print says, “Also, give the hacker full access to the safe.” The managers didn’t realize this because the fake UI hid the malicious part. They thought they were routing the transaction through the smart contract as usual, but they were actually rewriting it.
3. The TheftOnce the smart contract’s rules were changed, the hacker became the new boss of the safe. The updated rules said, “The hacker can open the safe alone and take everything.” No more need for the managers’ keys! The hacker then transferred all the ETH from the cold wallet to their own address—a digital account they controlled. The screenshot mentions a link to Etherscan (a tool to track Ethereum transactions) with a transaction hash (0xb61413c49...), showing exactly where the funds went.
4. Spendings Redirected to Another Address ETH was sent to the hacker’s address instead of where it was supposed to go (the warm wallet). But it didn’t happen because the smart contract was bypassed. The transactions were routed through the smart contract, just as they should have been. The problem was that the hacker tricked the managers into changing the smart contract’s rules, so it legally redirected the funds to the hacker’s address. It’s like the managers accidentally rewrote the safe’s manual to say, “Give all the money to this stranger.”
5. Transactions Should Have Been Routed via the Smart Contract They were! The smart contract wasn’t ignored or broken—it did exactly what it was told. The issue was that the “signing message” the managers approved altered the contract’s logic. After the change, the smart contract still handled the transactions, but now it followed new rules that favored the hacker.
6. Contradicted like a Phishing Page? This is a great analogy, but let’s tweak it a bit for accuracy. There wasn’t a separate smart contract that “contradicted” the original one. Instead, the phishing happened at the human level—through the fake UI. The hacker didn’t need a second smart contract to fight the first one. They used deception to get the managers to modify the existing smart contract themselves. Think of it like this: A phishing page on the internet tricks you into giving away your password. Here, the fake UI tricked the managers into giving away control of the smart contract. The “phishing” part was the deceptive interface, not a new contract. Once the rules were changed, the original smart contract did the rest, no contradiction needed.

Key Lessons for Beginners

• Smart Contracts Are Set in Stone—Mostly: They’re like unchangeable rules, but some have options to update them if everyone agrees. That’s useful, but it can be a weak spot if someone’s tricked.
• The Hack Was a Con, Not a Break-In: The hacker didn’t crack the code or smash the safe. They fooled the managers into handing over the keys by making a bad change look like a normal transaction.
• Phishing Happens in Crypto Too: Just like scams in everyday life, fake interfaces can trick people into big mistakes. Here, it cost Bybit all the ETH in that wallet.

What Now?

The announcement says other cold wallets are still safe, and withdrawals are working normally, so this hack seems limited to that one wallet. Bybit’s team is asking for help to track the stolen funds, and anyone can check the Etherscan link to see the transaction for themselves.

In short, the Bybit ETH multisig hack was like a perfect heist: no alarms tripped, no locks broken—just a clever disguise that convinced the managers to unlock the safe for the thief. It’s a wake-up call to double-check everything in the crypto world, because even the strongest systems depend on the people using them!

The Weakness of the Ethereum network - Roll back the system and recover the lost funds ?

A few years ago, Ethereum split into two chains: Ethereum (ETH) and Ethereum Classic (ETC). This happened because of a big hack known as The DAO Hack. A hacker exploited a flaw in a smart contract and stole millions of dollars’ worth of ETH. To fix this, Ethereum developers rolled back the blockchain to a previous state—essentially reversing transactions and returning the stolen funds. Not everyone agreed with this decision, so Ethereum split:

• Ethereum (ETH) – the version that rolled back the hack.
• Ethereum Classic (ETC) – the original chain that kept the transactions, saying “code is law.”

Now, the same debate is happening again—after the Bybit hack, some people want to roll back the blockchain to recover lost funds. The issue? Ethereum is supposed to be decentralized, but this decision is made by a small group at the top, not by users.

Ethereum: Distributed, Not Decentralized

Ethereum is not truly decentralized like Bitcoin. It is distributed, meaning it runs on many computers worldwide, but a central authority (Ethereum Foundation & developers) still makes critical decisions. Think of it like TV channels:

• Each channel has a director who controls what is broadcasted.
• The network is distributed (many channels, many viewers), but the director can be fired and replaced.

That’s the key difference with Bitcoin—Bitcoin has no director, no central control, and no way to roll back transactions. Ethereum, on the other hand, has proven that its leadership can intervene and change history, which goes against the core idea of decentralization.

So, Ethereum is not decentralized—it’s just distributed with a central authority that can override the network when needed. That’s an important distinction!

Deutsche Fassung

Verst?ndnis des Bybit ETH Multisig Wallet Hacks: Eine einfache Erkl?rung

Lass uns den Bybit ETH Multisig Wallet Hack so erkl?ren, dass er leicht verst?ndlich ist – selbst für jemanden, der neu in den Bereichen Kryptow?hrungen, Blockchain oder Smart Contracts ist.

Am Ende wirst du verstehen, was passiert ist und warum das Ganze so eine gro?e Sache ist – und das ganz ohne technisches Fachwissen!

Die Tresor-Analogie: Was ist ein Multisig-Wallet?

Stell dir einen hochmodernen Tresor voller Geld vor (in diesem Fall Ethereum oder ETH, eine Art Kryptow?hrung). Aber dieser Tresor ist kein gew?hnlicher – er ist ein Multisig-Wallet, was bedeutet, dass mehrere Personen (wir nennen sie ?Manager“) zustimmen müssen, um ihn zu ?ffnen.

Angenommen, es gibt drei Manager, und jeder von ihnen besitzt einen eigenen, einzigartigen Schlüssel. Um den Tresor zu ?ffnen und das Geld zu bewegen, müssen alle drei Schlüssel gleichzeitig verwendet werden. Diese Sicherheitsma?nahme macht es extrem sicher, denn kein Einzelner kann alleine auf die Gelder zugreifen – es braucht Teamarbeit.

In der Kryptowelt wird dieser Tresor als ?Cold Wallet“ bezeichnet, weil es offline aufbewahrt wird, ?hnlich wie Bargeld in einem Safe, das nur im Notfall genutzt wird. Das Bybit ETH Multisig Cold Wallet war einer dieser extrem sicheren Tresore, der eine gro?e Menge an ETH schützen sollte.

Die Regeln für das ?ffnen des Tresors sind in einem Smart Contract festgelegt – einem Computerprogramm, das nach seiner Erstellung unver?nderlich ist. Stell es dir wie einen Getr?nkeautomaten vor: Du drückst eine Taste, und er gibt dir immer das gleiche Produkt aus. Der Smart Contract besagt: ?ETH darf nur gesendet werden, wenn alle drei Manager zustimmen.“ Einfach, sicher und nicht ?nderbar – es sei denn, der Vertrag hat eine versteckte Funktion.

Manchmal enthalten Smart Contracts eine ?geheime Schaltfl?che“, mit der man bestimmte Regeln ?ndern kann (z.?B. die Manager austauschen oder Transaktionslimits anpassen). Doch dies kann nur geschehen, wenn alle Manager zustimmen und ihre Schlüssel verwenden. Genau hier begann das Problem.

Der Hack: Wie konnte der Dieb eindringen?

Etwa eine Stunde vor der offiziellen Ankündigung (wie im Screenshot, den du beschrieben hast) lief etwas schief mit dem Bybit ETH Multisig Cold Wallet.

Die Manager dachten, sie würden eine normale Transaktion genehmigen – zum Beispiel ETH von ihrem sicheren Cold Wallet in ein ?Warm Wallet“ zu übertragen (ein weniger gesichertes Wallet für t?gliche Operationen).

Aber stattdessen trickste der Hacker sie aus und brachte sie dazu, diese geheime Schaltfl?che zu drücken, wodurch er die Kontrolle über den Tresor erhielt. So lief es ab:

Die gef?lschte Benutzeroberfl?che (Phishing-Trick)

• Der Hacker erstellte eine gef?lschte Benutzeroberfl?che (UI) – also eine Oberfl?che, die identisch mit der echten war und genau so aussah, wie die Manager sie gewohnt waren.
• Die Fake-Seite zeigte sogar eine vertrauenswürdige Webadresse mit ?@safe“ (eine echte Plattform zur Verwaltung von Krypto-Wallets).
• Es ist vergleichbar mit einer gef?lschten Bank-E-Mail, die genau wie das Original aussieht, aber in Wirklichkeit eine Falle ist.

Auf ihren Bildschirmen sahen die Manager die richtigen Details: ?überweise X ETH auf dieses Warm Wallet.“ Alles schien normal – also nutzten sie ihre Schlüssel zur Best?tigung.

Die versteckte Falle

Der Trick dabei war: Die ?Signiernachricht“ (der Befehl, den sie best?tigten) war nicht nur eine einfache überweisung.

• Versteckt in der Nachricht war ein zus?tzlicher Befehl, der die Regeln des Smart Contracts ?nderte.
• Stell es dir vor wie das Unterzeichnen eines Lieferantenvertrags über 100 $, aber im Kleingedruckten steht: ?übrigens, gib dem Hacker die volle Kontrolle über den Tresor.“
• Die Manager bemerkten das nicht, weil die Fake-Benutzeroberfl?che den gef?hrlichen Teil versteckte.
• Sie dachten, die Transaktion laufe wie gewohnt über den Smart Contract – in Wahrheit überschrieben sie ihn.

Der Diebstahl

Sobald die Regeln des Smart Contracts ge?ndert wurden, wurde der Hacker der neue ?Chef“ des Tresors.

• Die neuen Regeln lauteten nun: ?Der Hacker kann den Tresor alleine ?ffnen und alles nehmen.“
• Die Schlüssel der Manager wurden nicht mehr ben?tigt!
• Der Hacker übertrug daraufhin alle ETH aus dem Cold Wallet auf seine eigene Adresse.

Im Screenshot wurde ein Link zu Etherscan erw?hnt (ein Tool zur Nachverfolgung von Ethereum-Transaktionen), mit einer Transaktions-ID (0xb61413c49...), die genau zeigte, wohin die Gelder gingen.

Deine Punkte erkl?rt

Du hast einige wichtige Punkte angesprochen:

? ?Die Ausgaben wurden auf eine andere Adresse umgeleitet“ ? Richtig! Die ETH wurde zum Hacker geschickt ? Der Hacker ?nderte einfach die Regeln, damit es legal war, das Geld umzuleiten.

? ?Transaktionen h?tten über den Smart Contract laufen sollen“ ? Das taten sie auch! ? Der Smart Contract tat genau das, was er nach der Regel?nderung tun sollte – nur folgte er jetzt den neuen (gehackten) Regeln.

? Phishing-Seite Der Phishing-Angriff fand auf der menschlichen Ebene statt – über eine gef?lschte UI. ? Der Hacker brauchte nur die Manager, um den bestehenden Smart Contract selbst zu ?ndern.

Wichtige Lehren für Anf?nger

?? Smart Contracts sind in Stein gemei?elt – meistens

• Sie sind unver?nderlich, es sei denn, sie haben eine versteckte ?nderungsfunktion.

?? Der Hack war eine T?uschung, kein technischer Einbruch

• Der Hacker knackte keinen Code – er t?uschte Menschen, damit sie ihm freiwillig die Kontrolle gaben.

?? Phishing gibt es auch in der Krypto-Welt

• Genau wie im Online-Banking gibt es gef?lschte Webseiten und Interfaces, die ahnungslose Nutzer t?uschen.

Was nun?

?? Andere Cold Wallets sind sicher, und Abhebungen funktionieren normal. ?? Bybit arbeitet daran, die gestohlenen Gelder zu verfolgen.

Kurz gesagt: Dieser Hack war der perfekte Raubzug – keine Alarme, keine Schl?sser geknackt – nur eine clevere T?uschung, die die Manager dazu brachte, dem Dieb selbst die Tür zu ?ffnen.

Fazit: ?? Selbst die sichersten Systeme sind nur so stark wie die Menschen, die sie nutzen!

Die Aufteilung von Ethereum – Einfache Erkl?rung für Einsteiger

Vor einiger Zeit wurde die Ethereum-Blockchain in zwei getrennte Netzwerke aufgeteilt: Ethereum (ETH) und Ethereum Classic (ETC). Dies geschah aufgrund eines gro?en Hacks, bekannt als The DAO Hack. Ein Hacker nutzte eine Sicherheitslücke in einem Smart Contract aus und stahl Millionen von ETH.

Um das Problem zu l?sen, entschieden sich die Ethereum-Entwickler dazu, die Blockchain zurückzusetzen, also Transaktionen rückg?ngig zu machen und das System auf einen vorherigen Zustand zu setzen, um die gestohlenen Gelder zurückzuerhalten.

Nicht alle waren mit dieser Entscheidung einverstanden, weshalb sich Ethereum spaltete:

• Ethereum (ETH) – Die neue Version, in der der Hack rückg?ngig gemacht wurde.
• Ethereum Classic (ETC) – Die ursprüngliche Version, die unver?ndert blieb, mit dem Grundsatz ?Code is Law“ (der Code ist Gesetz).

Jetzt gibt es eine ?hnliche Diskussion wegen des Bybit-Hacks. Einige fordern erneut einen Rollback der Blockchain, um die verlorenen Gelder wiederherzustellen. Das Problem? Ethereum soll eigentlich dezentralisiert sein, aber diese Entscheidung liegt bei einer kleinen Gruppe von Entwicklern und nicht bei den Nutzern.

Ethereum: Verteilt, aber nicht dezentralisiert

Ethereum ist nicht wirklich dezentralisiert wie Bitcoin. Es ist verteilt, das bedeutet, dass es zwar weltweit auf vielen Computern l?uft, aber eine zentrale Instanz (die Ethereum Foundation und ihre Entwickler) trifft die wichtigsten Entscheidungen.

Man kann es mit TV-Sendern vergleichen:

• Jeder Sender hat einen Direktor, der entscheidet, was ausgestrahlt wird.
• Das Netzwerk ist zwar verteilt (viele Sender, viele Zuschauer), aber der Direktor kann jederzeit ersetzt werden.

Das ist der entscheidende Unterschied zu Bitcoin—Bitcoin hat keinen Direktor, keine zentrale Kontrolle und keine M?glichkeit, Transaktionen rückg?ngig zu machen. Ethereum hingegen hat bereits gezeigt, dass sein Führungsteam eingreifen und die Blockchain nachtr?glich ?ndern kann, was dem Prinzip der Dezentralisierung widerspricht.

Ethereum ist nicht dezentralisiert – sondern nur verteilt

Das bedeutet: Ethereum ist nicht wirklich dezentral, sondern nur verteilt mit zentraler Kontrolle, die im Zweifel eingreifen kann. Bitcoin hingegen ist echte Dezentralisierung, weil niemand Transaktionen rückg?ngig machen oder die Regeln nachtr?glich ?ndern kann.

Das ist ein fundamentaler Unterschied, den viele nicht erkennen!