ByBit被盜15億美元朝鮮黑客組織犯下加密史上最大盜竊案

2025年2月24日 20:12

黑客年年有，今年也不例外。

眾所周知，在加密世界的黑暗叢林中，盜與被盜，處在一種微妙的平衡中，黑客猖獗無孔不入，安全標(biāo)準(zhǔn)，也在這一次次的壓力測試中被持續(xù)拉高，而公共責(zé)任這一在自負(fù)盈虧的加密領(lǐng)域少見的詞匯，也一次次擺在了項(xiàng)目或者平臺方的面前，考驗(yàn)著每個平臺的“格局”與市場的“合力”。

就在開年不久，惡性事件再一次發(fā)生。2月21日晚，交易所Bybit遭受了一起價(jià)值14.6億美元的黑客攻擊，僅從金額論，本次事件已然是Crypto歷史上最大的黑客攻擊。

追溯黑客源頭，神秘的朝鮮組織LazarusGroup再度浮出水面。

時(shí)間拉回到2月21日，一個平凡的周五夜晚，加密市場卻發(fā)生了一件不平凡的事。先是23點(diǎn)27分，鏈上偵探Zachxbt監(jiān)控頻道稱，監(jiān)控到從Bybit流出的可疑資金，總額超過14.6億美元。

隨后，加密KOLFinish也發(fā)文印證，表示鏈上數(shù)據(jù)檢測到Bybit一多簽地址將價(jià)值15億美元的ETH轉(zhuǎn)出，并使用DEX將LSD資產(chǎn)兌換為原生ETH，其強(qiáng)調(diào)該地址通過4個不同的DEX兌換，會導(dǎo)致較大的滑點(diǎn)與交易損耗，而交易量如此之大，顯然不太尋常。

23點(diǎn)44分，Bybit聯(lián)合創(chuàng)始人兼CEOBenZhou發(fā)文確認(rèn)了這一說法，表示黑客控制了特定ETH冷錢包，但其余冷錢包安全且提現(xiàn)正常。這一消息無疑明確了黑客作案，而高達(dá)15億美元的被盜金額，讓市場一時(shí)陷入恐慌。

得益于CEO的有效作為與行業(yè)的共同努力，在2月22日上午9點(diǎn)，BybitCEOBenZhou表示，99.994%的提款已完成，而Bybit交易所的各項(xiàng)服務(wù)，包括提現(xiàn)功能，均已恢復(fù)正常。在當(dāng)日，SOSOVALUE等監(jiān)測機(jī)構(gòu)也表示Bybit資金完成了缺口覆蓋，稱Bybit交易平臺在過去12小時(shí)內(nèi)共計(jì)流入資金超過40億美元。根據(jù)今日最新消息，BybitCEOBenZhou于發(fā)推表示Bybit已完全填補(bǔ)ETH缺口，新的審計(jì)POR（儲備證明）報(bào)告將很快發(fā)布。Lookonchain也監(jiān)測到Bybit通過多種渠道獲得44.7萬枚ETH。

資金擠兌解決，在黑客的圍堵上，行業(yè)也正在努力。Bybit表示已立案對其進(jìn)行追查，而通過多方協(xié)調(diào)努力，成功在一天內(nèi)成功凍結(jié)4289萬美元被盜資金。提供協(xié)助的機(jī)構(gòu)包括Tether、THORChain、ChangeNOW、FixedFloat、AvalancheEcosystem、CoinEx、Bitget、Circle等。但不得不承認(rèn)，盡管如此，在加密這一去中心化市場上，寄希望完全阻攔黑客的Tokens拋售，仍非常困難。截止到今日早上9點(diǎn)，Bybit黑客已將5.07萬枚ETH（1.42億美元）換成DAI及其它鏈上的資產(chǎn)，目前還持有44.86萬枚ETH（12.6億美元），若拉長時(shí)間線，這筆資金早晚會被拋售殆盡。

究竟是何黑客可繞過多簽+冷錢包這一在業(yè)界最高的安全標(biāo)準(zhǔn)，成功在眾目睽睽下拿走15億美元？

很快，關(guān)于攻擊事件的細(xì)節(jié)也被進(jìn)一步披露。Bybit官方推特表示，Bybit檢測到涉及其中一個ETH冷錢包的未經(jīng)授權(quán)活動。事件發(fā)生時(shí)，ETH多重簽名冷錢包執(zhí)行了熱錢包的轉(zhuǎn)賬。不幸的是，這筆交易是通過一個復(fù)雜的攻擊操縱的，該攻擊掩蓋了簽名界面，顯示正確的地址，同時(shí)更改了底層智能合約邏輯。因此，攻擊者能夠控制受影響的ETH冷錢包并將其資產(chǎn)轉(zhuǎn)移到一個未識別的地址。

攻擊手法實(shí)際上并不復(fù)雜，簡而言之，所有的交易所都存在冷錢包與熱錢包，冷錢包用于安全儲存資產(chǎn)，而熱錢包則用于日常交易需求，兩者之間也會發(fā)生金額的流轉(zhuǎn)，本次黑客正是盯緊了這一過程。在Bybit按照慣例將資金從冷錢包轉(zhuǎn)入熱錢包時(shí)，黑客偽裝了一個假的交易界面和鏈接，實(shí)現(xiàn)了渾水摸魚。由于冷錢包通常是多簽機(jī)制，黑客在此其中也使用了社工技巧，通過黑入發(fā)起交易的人/設(shè)備，讓后續(xù)審核人員降低警惕，審核人員在看到發(fā)起人的轉(zhuǎn)賬申請后，多會直接點(diǎn)擊同意，而在同意后，錢包的權(quán)限就拱手送給了黑客。換而言之，黑客并未攻擊Safe多簽協(xié)議本身，而是針對人性的弱點(diǎn)設(shè)計(jì)了方案。

Safe前端侵入+社工的手法，讓市場很快就聯(lián)想到了惡名昭著的始作俑者——朝鮮黑客LazarusGroup。在此前的的歷史案件中，RadiantCapital、WazirX都是用類似的手法被盜，從員工多簽侵入替換簽名內(nèi)容，把Safe合約升級替換為部署的惡意合約，操作成功后迅速將資金轉(zhuǎn)入混幣器提出，隨后消聲覓跡。

這一懷疑得到了證實(shí)，事件發(fā)生4小時(shí)后，鏈上偵探ZachXBT提交了確鑿證據(jù)，證實(shí)此次針對Bybit的攻擊由朝鮮黑客組織LazarusGroup實(shí)施。

從貶義意味而言，Lazarus無疑是業(yè)內(nèi)讓人聞風(fēng)喪膽的存在。來自現(xiàn)代化程度不高的朝鮮，Lazarus卻是世界上頂尖的黑客組織，頗有些割裂與荒誕。LazarusGroup的首戰(zhàn)就是2009年的特洛伊行動，黑客們利用DDOS這一常見攻擊完成了韓國政府的攻破，成功在36個網(wǎng)站主引導(dǎo)記錄（MBR）中植入獨(dú)立日紀(jì)念的文字。

而后，索尼影視、紐約聯(lián)邦儲備銀行相繼被攻擊，WannaCry勒索軟件攻擊更是影響了150 個國家的近20 萬臺計(jì)算機(jī)，使其一戰(zhàn)成名。2017年開始，這一黑客組織開始將目標(biāo)轉(zhuǎn)向匿名程度更高的加密領(lǐng)域。Bithumb、Nicehash都曾慘遭毒手，從近年來看，Ronin被盜取的6.2億美元、HorizonBridge的1億美元，背后都有該組織的身影。Blockchain安全平臺Immunefi發(fā)布的一份報(bào)告稱，LazarusGroup在2023年的Crypto黑客攻擊事件中，造成的損失超過3億美元，占當(dāng)年總損失的17.6%。2024年，WazirX也遭到攻擊，損失了2.349億美元的加密資產(chǎn)。

攻擊頻頻得手，且數(shù)額巨大，即便美國司法部追溯也無果，這一組織，在互聯(lián)網(wǎng)世界的無主之地中制造混亂，持續(xù)不斷的為其祖國朝鮮實(shí)現(xiàn)外匯創(chuàng)收�；蛟S也有人疑問，朝鮮是如何培養(yǎng)出如此厲害的黑客高手？

實(shí)際上，這也是朝鮮的不得已之舉。在長期的制裁中，相比于長槍大炮等實(shí)際投入巨大的國防安全事務(wù)，在數(shù)字化世界培養(yǎng)黑客，已然是朝鮮最具性價(jià)比的方案。從上世紀(jì)80年代開始，韓國就開始以“SecretWar”為代號進(jìn)行黑客培養(yǎng)，以自動化大學(xué)為核心基地招收學(xué)生，據(jù)傳申請?zhí)蕴矢叨?0%，而即便進(jìn)入學(xué)習(xí)，也要接受長達(dá)9年的嚴(yán)格訓(xùn)練，并從小就開始賦予使命，按照攻擊地域編入不同的組別，甚至?xí)砼P底融入當(dāng)?shù)匚幕酝瓿扇蝿?wù)目標(biāo)。

當(dāng)然，豐厚的收益不會少，黑客月薪可高達(dá)2000美元一月，并配備首都市中心超過185平米的豪華公寓，盡管看似對黑客而言價(jià)值不多，但在人均年收入不足1000美元的朝鮮，他們，可以被認(rèn)為是金字塔尖的人物。

善與惡，在成年人的世界中，很難評價(jià)，對于遭受無妄之災(zāi)的用戶們，Lazarus可以被認(rèn)為是純粹的惡，但對于朝鮮而言，黑客們的每次行動都代表著國家的創(chuàng)收與貢獻(xiàn)，對普通民眾而言，或許是大大的善。

在善惡的交織中，加密領(lǐng)域所能做的，也只能是不斷地提高安全標(biāo)準(zhǔn)，制定更為完善的安全機(jī)制與危機(jī)解決方案，去面對來勢洶洶的攻擊，保全黑暗森林中脆弱的資產(chǎn)。

值得一提的是，本次Bybit事件，無疑是加密歷史上一次偉大的救援。無論理由為何，加密世界所展現(xiàn)出來行業(yè)同舟共濟(jì)的信心與勇氣，仍然讓市場觸動，成為了垃圾時(shí)間中少見的人性曙光，或許大家都知道，如今的市場，再也經(jīng)不起如此大規(guī)模的又一次黑客攻擊。頗為有趣的是，面對如此高額的攻擊，最愛長臂管轄的美國監(jiān)管機(jī)構(gòu)似乎都保持著沉默，監(jiān)管新紀(jì)元名不虛傳。

但無論如何，提高安全性是所有用戶需要高度關(guān)注的優(yōu)先事項(xiàng)，這次是資本雄厚的Bybit，所以全員聲援，被盜的金額雖大，但也只是Bybit一年的盈利，然而，幣圈永遠(yuǎn)不止Bybit，沒有一絲漣漪、求助無門、動輒傾家蕩產(chǎn)的散戶被盜才是行業(yè)的常態(tài)。對于普通用戶而言，如何取得安全與效率的平衡，將是永恒的議題。