拉撒路集團15億美元Bybit黑客事件震撼加密貨幣界（ETH）——彭博社

bloomberg

2025-02-28

攝影師：雅各布·波爾茲基/NurPhoto/Getty Images

上週五有關加密貨幣交易所Bybit遭遇大規模黑客攻擊的消息開始擴散時，網絡安全研究人員迅速得出結論：鉅額數字資產盜竊的時代已進入一個可能造成毀滅性後果的新階段。

這不僅涉及攻擊規模（儘管近15億美元的損失已遠超歷史記錄），更在於其性質——美國聯邦調查局將此次攻擊歸咎於朝鮮黑客組織Lazarus，其野心和防禦難度遠超以往任何一次攻擊。

最令人不安的是，黑客成功清空了所謂的"冷"加密貨幣存儲錢包（這種硬件設備用於保存訪問資金所需的私鑰）。這類錢包通常與網絡隔離，此前被認為幾乎不可能被攻破。

根據對十多位行業高管和安全專家的採訪，此次事件對行業及其新興監管體系影響深遠。他們表示，要防範朝鮮的盜竊行為，可能需要加密貨幣交易所大幅增加安全支出、實施更嚴格的監管措施，並加強政府間協作。

“這次攻擊打破了冷錢包堅不可摧的神話，”區塊鏈情報公司TRM Labs的高級主管安吉拉·安表示，“交易所必須重新審視安全策略並加強防禦。”

消息來源：Bybit和Safe的初步事件報告

作為最大的加密貨幣交易所之一，Bybit被迫向其他平台借款並動用自有資金填補被盜的約51.5萬枚代幣（主要是以太坊及其衍生幣）。據DefiLlama數據顯示，儘管交易所努力穩定局面，攻擊發生後兩天內仍有約40億美元資金被客户提現。

“Bybit已成功將77%的管理資產規模（AUM）恢復至事件前水平，”該公司週四表示。

西方政府指控朝鮮扶植多個黑客組織，這個經濟孤立的國家據稱通過網絡犯罪獲取資金以支持武器計劃。根據美國官員的説法，臭名昭著的拉撒路集團（Lazarus Group）最早可追溯至2007年，由朝鮮主要情報機構偵察總局下屬網絡作戰部門控制。

根據研究機構Chainalysis的數據，去年與朝鮮有關的黑客實施的加密貨幣盜竊案金額翻了一倍多，達到13.4億美元，約佔總數的60%。而Bybit遭黑客攻擊事件意味着，2025年歸因於該政權的此類攻擊金額已經超過了這一數字。

“這次攻擊表明，即使是像Bybit這樣認真且勤奮的團隊，也面臨着極其嚴苛的環境；這些掠奪者實際上就是國家行為者，而非比喻意義上的，”加密貨幣安全公司Immunefi的首席執行官米切爾·阿馬多爾在一封電子郵件中表示。“他們擁有無限的時間、耐心和資源，而且他們只需要成功一次。”

來源：Elliptic

注：價值按被盜時的價格計算。

Bybit的首席運營官劉海倫剛剛在迪拜（該交易所的總部所在地）與父母坐下來吃晚餐時，首席執行官周本打電話告訴她黑客攻擊的消息。她立即趕往辦公室，通宵工作，一度同時處理三個不同的電話。

“回家後我睡了一會兒，”她在一次採訪中説。“但我們的首席執行官、錢包工程師、追蹤資金的團隊，他們兩三天都沒睡覺。”

從Bybit被盜的代幣存儲在一個多重簽名的冷錢包中，這意味着包括周本在內的三個授權人員需要共同簽署才能移動任何資金。研究人員表示，多重簽名的冷錢包長期以來被認為是安全的，並且在加密貨幣交易所中廣泛使用。

儘管關於攻擊具體如何展開的敍述略有不同，但黑客似乎最初是通過針對Safe Wallet一名員工的電腦開始的，Safe Wallet是Bybit的加密貨幣錢包提供商。該公司未回應置評請求。

“黑客所做的是某種形式的伏擊，“託管解決方案提供商Fireblocks的安全與信任副總裁Shahar Madar表示，“這是利用了現有的流程。”

Radix區塊鏈的創始人Dan Hughes認為，在一定程度上，多重簽名錢包表面上的安全性可能給簽名者帶來了一種虛假的安全感。

這次攻擊還突顯了另一個令人不安的事實：儘管加密貨幣聲稱創建了一個透明的生態系統，區塊鏈通過自動化軟件合約進行交互，但在關鍵時刻，它仍然依賴於人類的判斷。而人類是可能被欺騙的。

聯邦調查局在9月的一份公告中表示，朝鮮黑客特別擅長通過對該行業進行所謂的社會工程攻擊來利用這一漏洞。在Bybit的盜竊案中，簽名者被惡意代碼插入的虛假信息所矇蔽，使他們相信自己正在批准一筆合法的交易。

“我真的想不出交易所將如何正確防禦這種情況，並確保所使用的工具鏈和多重簽名上的人員不會在社會或物理上受到威脅，“Hughes説。

此次黑客攻擊事件將焦點對準了一個可能關乎行業存亡的問題——今年1月唐納德·特朗普重返白宮並讓加密貨幣倡導者擔任要職時，該行業曾取得重大勝利。美國證券交易委員會在前主席加里·根斯勒領導下進行了長達數年的打擊行動，但過去幾周已終止了對多家加密貨幣公司的調查。

在多年主要針對安全門檻較低的分佈式加密項目後，朝鮮黑客於2024年開始加強對中心化交易所的攻擊，先後襲擊了日本的DMM比特幣和印度的WazirX。曾為印度最大加密貨幣交易所的WazirX在遭黑客攻擊後申請了重組。

中心化交易所是加密貨幣生態系統的核心，通常每日處理數千億美元的總交易量。像Bybit遭遇的這種重大黑客攻擊，其影響遠不止波及交易所及其客户。消息傳出後，以太坊、比特幣等加密貨幣應聲下跌，最大上市交易所Coinbase Inc.的股價也隨之下挫。

TRM實驗室的Ang表示，面對日益精進的國家級黑客，加密貨幣交易所必須加大安全投入，並與政府更緊密合作以追蹤和追回資金，避免犯罪分子將其轉移至無法觸及之處。她指出監管機構可能會重新審視交易所處理客户資產的規則。

黑客入侵後的操作速度和專業程度加劇了不安情緒。在交易獲批後數秒內，資產就從Bybit錢包被抽走，隨後通過分佈式交易所和所謂的跨鏈橋進行洗錢，將其轉換為其他加密貨幣。

在竊取價值15億美元的以太坊代幣後，Lazarus組織將資金分散至數百個錢包

來源：Arkham Intelligence

Bybit表示已追回約4300萬美元被盜加密貨幣，佔總量的3%。該平台已啓動賞金獵人網站，對成功追蹤並凍結被盜代幣的人員提供獎勵。週三的聲明中，FBI公佈了與黑客相關的區塊鏈地址列表，並呼籲加密領域各方封鎖相關交易。

“這次洗錢操作的規模和速度表明，加密安全措施遠遠跟不上攻擊者的步伐，“Ang表示，“這次攻擊是對行業的壓力測試，結果勉強及格。”