Izvršni direktor Ben Zhou je 21. februarja zvečer na svoj računalnik prejel na prvi pogled rutinsko zahtevo za podpis transakcije, katere izvedba je terjala podpise treh ljudi. Pol ure pozneje ga je poklical finančni direktor in mu sporočil, da ethra ni več. Bybit je uporabljal infrastrukturo Safe, ki sicer ni namenjena velikim uporabnikom, kamor sodijo menjalnice, ki dnevno prenašajo milijarde, temveč domačim uporabnikom. A v Bybitu zatrjujejo, da se vdor ni zgodil pri njih, temveč pri Safu.
Poročila to potrjujejo. Napadalci so ustvarili zlonamerne pogodbe, ki so predvidevale prenos ethra v njihove denarnice. A ker bi bila takšna pogodba pri podpisu očitna, so napadalci podtaknili zlonamerni uporabniški vmesnik, ki je podpisovalcev prikril dejansko pogodbo. Gre torej za preusmeritev v lažni uporabniški vmesnik ali vdor v Safe. Izkazalo se je, da ni šlo za prvo varianto (phishing), temveč so uspeli vdreti v račun enega izmed zaposlenih pri Safu, nato pa so spremenili uporabniški vmesnik, do katerega dostopajo vse stranke. Bybitovi vodilni uslužbenci so za podpisovanje uporabljale Safovo programsko opremo, medtem ko strojni del (ledger) ni bil povezan, zato so podpisovali na slepo - z zaupanjem, da drži, kar jim prikazuje Safe.
