作者: Spirit
事件概述
2025年2月21日, 加密货币交易所 바이비트(Bybit)披露其以太리움(ETH) 多签 콜드 월렛(cold wallet)遭遇未授权活动, 导致近 15 억 美元的 ETH 及 stETH 资产被盗。初步分析指向黑客利用精心策划的攻击, 通过伪装交易界面和替换智能合约等复杂技术手段, 成功控制了 바이비트(Bybit)的 ETH 콜드 월렛并转移资金。事件发生后, 바이비트(Bybit)迅速发布声明, 启动调查, 并寻求外部资金支持以应对用户提币潮。此次事件是加密货币历史上最大规模的单次被盗事件, 引发了市场震荡和对中심화 거래소(CEX) 安全性的关注。
事件时间线 (HKT, UTC+8)
以下时间线基于公开信息整理, 以香港时间 (HKT, UTC+8) 为基准:
2025年2月19日 15:15 HKT (UTC 07:15): 恶意合约被部署 (合约地址:`0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`)。 慢雾(SlowMist) 团队分析显示, 该恶意合约是此次攻击事件的预先部署环节。
2025年2月21日 14:13 HKT (UTC 06:13): 黑客利用三个 Owner 签名, 发起交易 (交易哈希:`0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882`), 将 바이비트(Bybit) 多签 콜드 월렛的 Safe 实现合约替换为上述恶意合约。这被认为是攻击的关键步骤, 为后续资金盗窃铺平道路。
2025年2月21日 23:30 HKT 左右: 바이비트(Bybit) 以太리움(ETH) 콜드 월렛发生异常资金转移, 约 15 亿美元的 ETH 和 stETH 被盗。 X (原 Twitter) 用户 @OrdzWorld 率先监测到 바이비트(Bybit) 콜드 월렛向温钱包异常转账的活动。
2025年2月21日 23:48 HKT: 바이비트(Bybit) CEO Ben Zhou 在社交媒体发文, 承认发生未经授权的 ETH 콜드 월렛转账事件, 初步判断为"屏蔽 UI 欺骗攻击", 并强调其他콜드 월렛安全, 提款正常。
2025年2月21日 23:51 HKT: 바이비트(Bybit) 官方账号 @Bybit\_Official 在 X 平台发布官方声明, 确认检测到 ETH 多签 콜드 월렛的未授权活动, 并表示攻击者通过伪装签名界面的复杂攻击操控了交易。 바이비트(Bybit) 声明已启动调查, 并强调用户资金安全。
2025年2月22日 00:11 HKT: 바이비트(Bybit) CEO Ben Zhou 再次发文, 强调 바이비트(Bybit) 具备偿付能力, 用户资产 1:1 担保。
2025年2月22日 01:00 HKT: 慢雾(SlowMist) 团队 @SlowMist\_Team 在 X 平台披露更多技术细节, 指出恶意合约早在 2 月 19 日已部署, 攻击者利用后门函数 `sweepETH` 和 `sweepERC20` 以及 `DELEGATECALL` 逻辑实施盗窃。
2025年2月22日 01:07 HKT: X 用户 @web3golder 报道 바이비트(Bybit) 面临用户提款潮, 部分被盗资产已在 탈중앙화 거래소(DEX) 兑换为 ETH, 加剧市场担忧。
2025年2月22日 01:24 HKT: 비트마트(BitMart) 创始人 Sheldon 在 X 平台发文表示, 비트마트(BitMart) 已冻结相关地址, 并将协助 바이비트(Bybit) 追回资产。
2025年2月22日 01:39 HKT: 安全团队 Beosin 分析指出, 黑客初始攻击地址的手续费资金来自 币安(Binance)交易所。
2025年2月22日 05:23 HKT: 链上侦探 ZachXBT (@ZachXBT) 在 X 平台发文, 提交证据报告, 初步确认此次攻击由朝鲜黑客组织 Lazarus Group 策划。 아크함(Arkham) Intelligence 转发了该信息。
2025年2月22日 07:27 HKT: 바이비트(Bybit) 官方 X 平台发文称, 已向有关部门报案, 并正与链上分析提供商合作, 以识别和隔离涉案地址, 阻止黑客抛售 ETH。
2025年2月22日 09:09 HKT: 链上数据分析师余烬 (@EmberCN) 监测到, 비트겟(Bitget) 向 바이비트(Bybit) 支援了 4 万枚 ETH 借款, 以缓解提现压力。
2025年2月22日 09:14 HKT: 비트겟(Bitget) CEO Gracy Chen 在 X 平台发文声援 바이비트(Bybit), 表示相信 바이비트(Bybit) 客户资金安全, 无需恐慌。
2025年2月22日 09:21 HKT: Web3 审计机构 Hacken 发布储备证明更新, 称 바이비트(Bybit) 储备金仍超过负债, 用户资金得到全额支持。 바이비트(Bybit) CEO Ben Zhou 回复称, Hacken 的审计证明 바이비트(Bybit) 有能力弥补客户损失。
2025年2月22日 09:28 HKT: 쿠코인(KuCoin) CEO BC Wong 对 바이비트(Bybit) 表示支持, 并称 쿠코인(KuCoin) 已协助监控资金流向、冻结可疑资产。
2025年2月22日 09:30 HKT: 币安(Binance)创始人 창펑자오(CZ) 在社交媒体回应称, 币安(Binance)官方暂未向 바이비트(Bybit) 拆借资金, 相关资金转移可能为 고래(巨鲸)个人行为。
2025年2月22日 09:35 HKT: 多签钱包协议 Safe 官方发布声明, 表示未发现代码库泄露, 已暂停 Safe 功能以进行彻底检查。
2025年2月22日 09:38 HKT: 链上监测显示, 엠이엑스씨(MEXC) 热钱包向 바이비트(Bybit) 콜드 월렛转移 1.26 万枚 stETH, 进一步提供流动性支持。
2025年2月22日 09:55 HKT: 바이비트(Bybit) CEO Ben Zhou 表示, 바이비트(Bybit) 正在从 콜드 월렛转移 29.5 亿 USDT 至热钱包, 为计划中的策略, 并非再次被黑客入侵。
各方支持与流动性应对
바이비트(Bybit) 在事件发生后迅速采取行动, 寻求多方支持以应对潜在的流动性危机和用户信任危机:
비트겟(Bitget)的 ETH 借款: 비트겟(Bitget) 向 바이비트(Bybit) 紧急借出 4 万枚 ETH (约 1.059 亿美元), 直接转入 바이비트(Bybit) 콜드 월렛地址, 用于缓解用户提币压力。这笔借款体现了同行业交易所之间的互助精神。
桥接贷款 (Bridge Loan): 바이비트(Bybit) CEO Ben Zhou 透露已与合作伙伴达成桥接贷款协议, 金额约为被盗 ETH 价值的 80% (约 11.2 亿美元)。贷款具体来源尚未公开, 但可能包含 비트겟(Bitget) 的借款。桥接贷款作为短期融资工具, 旨在快速补充流动性, 避免 바이비트(Bybit) 需要立即在市场大量购买 ETH, 造成进一步的市场波动。
쿠코인(KuCoin) 协助监控与冻结: 쿠코인(KuCoin) CEO 表示已协助 바이비트(Bybit) 监控被盗资金流向, 并冻结可疑资产, 尝试减小损失。
财务审计与偿付能力证明: 바이비트(Bybit) 合作的 Web3 审计机构 Hacken 发布储备证明更新, 바이비트(Bybit) 的储备金仍旧超过负债, 用户资金能够得到全额支持。 바이비트(Bybit) CEO Ben Zhou 亦表示 바이비트(Bybit) 有偿付能力, 用户资产 1:1 担保, 即使黑客事件损失无法追回, 바이비트(Bybit) 也能弥补用户损失。
用户提款处理: 바이비트(Bybit) CEO 表示平台提款功能正常运行, 并强调 99.994% 的提款请求已完成, 但承认处理大量提款请求可能存在延迟。
事件背景与揭示行业趋势
바이비트(Bybit) 交易所概况: 바이비트(Bybit) 成立于 2018 年, 总部位于新加坡, 是一家以衍生品交易为主的加密货币交易所, 拥有超过千万用户, 在行业内具有一定影响力。
加密货币盗窃事件频发: 近年来, 중심화 거래소(CEX)因其资金集中性, 成为黑客攻击的高价值目标。2024 年全球加密货币被盗金额达 23 亿美元, 而 바이비트(Bybit) 本次事件被盗金额超过去年行业被盗金额的 60%, 凸显了行业安全形势的严峻性。此前, 로닌(Ronin) Network 等知名项目也曾遭受大规模盗窃事件, 表明黑客攻击技术不断演进, 中심화 平台面临持续的安全挑战。
사전 경고와 장기 계획: 보안 기관 슬로우 미스트(SlowMist)가 공개한 바에 따르면, 악성 계약이 이미 2월 19일에 배포되었다고 하며, 이번 공격이 즉흥적이 아니라 오랜 시간 동안 정성스럽게 계획되고 준비되었음을 보여줍니다.
사건 원인 분석
기술적 취약점과 사회 공학적 공격:
초기 분석에 따르면, 공격자가 바이비트(Bybit)의 다중 서명 콜드 월렛 서명 프로세스의 취약점을 이용했을 가능성이 있습니다. 위장된 거래 인터페이스와 Safe 계약 대체를 통해 다중 서명 소유자를 속여 악의적인 거래에 서명하도록 했습니다.
공격자는 사회 공학적 수단(지난해 10월 공격 사례 참조)을 결합했을 수 있습니다. 예를 들어 서명자의 컴퓨터나 중간 통신 채널을 침해하여 정상적인 거래 요청을 악의적인 거래로 대체함으로써 서명자의 경계심을 낮췄을 것으로 보입니다.
악성 계약에서 `DELEGATECALL` 명령어가 악용되어, 악성 코드가 다중 서명 월렛의 상황에서 실행되어 계약 로직을 수정하고 자금을 이체할 수 있었던 것으로 보입니다.
중앙화 거래소의 고유한 위험:
중앙화 거래소는 사용자 자금의 집중 보관자로서 본질적으로 "단일 장애 지점" 위험을 가지고 있어, 해커 공격의 표적이 되기 쉽습니다. 바이비트 CEO 벤 저우는 이미 2020년에 CEX의 이러한 고유한 취약성을 공개적으로 인정한 바 있습니다.
외부 환경 요인:
2025년 2월 암호화폐 시장 전반이 회복세를 보이면서 ETH 가격이 상승했고, 이는 해커의 절도 동기를 자극했을 수 있습니다.
최근 다른 암호화폐 플랫폼(예: ZkLend)도 공격을 받아 업계 전반의 보안 환경이 악화되고 있음을 반영하고 있습니다.
사건의 영향
바이비트에 대한 직접적인 영향:
거대한 자금 손실: 15억 달러의 자산이 도난당했으며, 이는 바이비트 ETH 예금의 상당 부분(약 75%)을 차지합니다. 이로 인해 거래소에 직접적인 경제적 손실이 발생했습니다.
사용자 신뢰 위기와 출금 쇄도: 대규모 도난 사건으로 인해 사용자들의 바이비트 플랫폼 보안에 대한 신뢰가 위협받아, 대량 출금이 발생하여 플랫폼 유동성에 큰 압박을 줄 수 있습니다.
ETH 가격의 단기 변동성: 사건 발생 후 ETH 가격은 약 3% 하락했는데, 이는 시장의 부정적인 감정을 반영하고 있습니다.
평판 손상: 바이비트가 적극적으로 대응하고 지급 능력을 강조했음에도 불구하고, 이번 사건은 바이비트의 평판에 부정적인 영향을 미쳤습니다.
암호화폐 업계에 미치는 영향:
CEX 신뢰 위기 심화: 바이비트 사건은 사용자들의 중앙화 거래소 보안에 대한 우려를 더욱 증폭시켜, 일부 사용자들이 자금을 탈중앙화 거래소(DEX)로 옮기거나 더 안전한 자산 보관 방식을 선택하게 만들 수 있습니다.
규제 압력 증가 가능성: 역사적으로 대규모 거래소 보안 사고는 규제 기관의 관심과 개입을 불러왔습니다. 바이비트 사건 역시 각국 규제 기관이 CEX에 대한 보안 감사와 규제 요구를 강화하는 계기가 될 수 있습니다.
업계 보안 업그레이드 촉진: 이번 사건은 암호화폐 보안 분야의 중요한 전환점이 될 수 있으며, 거래소, 보안 기관, 개발자 커뮤니티가 기술 보안과 거버넌스 메커니즘을 전반적으로 업그레이드하여 업계 전반의 보안 수준을 높이는 계기가 될 것입니다.
이더리움 포크 논의 가능성: Coinbase 임원 Conor Grogan과 암호화폐 업계 인사 Arthur Hayes 등이 이번 사건이 DAO 사건 이후의 이더리움 포크와 유사한 논의를 불러일으킬 수 있다고 공개적으로 언급했습니다. 포크 요구가 다소 급진적일 수 있지만, 이는 사건의 심각성과 업계 내부의 극단적인 상황에 대한 잠재적 고려를 반영하고 있습니다.
업계 각계의 반응
바이비트 측: 바이비트 CEO 벤 저우는 사건 발생 후 신속하게 사건 세부 내용을 공개하고, 소셜 미디어와 라이브 방송 등을 통해 사용자들과 소통하며, 플랫폼의 지급 능력과 정상적인 운영을 강조하여 사용자 신뢰 회복을 시도했습니다. 바이비트 측은 관련 기관에 신고했으며, 보안 기관과 협력하여 조사와 자금 추적을 진행하고 있습니다.
감사 보안 기관: 슬로우 미스트(SlowMist), Beosin 등 블록체인 보안 기업들이 신속하게 개입하여 공격 기술 세부 사항을 분석하고, 바이비트의 자금 추적을 지원하며 업계에 보안 경고를 발령했습니다.
중앙화 거래소(CEX) 동료: 비트겟, 쿠코인, 엠이엑스씨, 주코인 등 거래소들이 공개적으로 바이비트를 지원하고 ETH와 stETH 대출을 제공하여 유동성 압박을 완화했습니다. 비트마트는 의심스러운 주소를 동결하겠다고 밝혔으며, 창펑자오(CZ) 역시 필요하다면 바이낸스가 지원할 수 있다고 언급했습니다. 업계 선두 거래소들의 집단적인 지원과 상호 지원은 업계 보안 위험에 대처하려는 자세를 보여줍니다.
커뮤니티와 분석가: 암호화폐 커뮤니티와 업계 분석가들은 이 사건에 대해 우려와 관심을 표명했습니다. 일부 사용자들은 바이비트의 투명한 소통을 긍정적으로 평가했지만, 대다수 사용자들은 CEX 보안에 대한 일반적인 우려를 표현했습니다. 분석가들은 이번 사건이 CEX로 하여금 다중 서명 메커니즘, 스마트 계약 보안 감사, 내부 보안 프로세스 등을 재검토하고 개선하도록 촉구할 것이라고 지적했습니다.
요약
바이비트 거래소가 당한 15억 달러 규모의 도난 사건은 암호화폐 업계 역사상 가장 큰 단일 자금 손실 사건이며, 중앙화 거래소의 보안 위험에 대한 경종을 다시 한번 울렸습니다. 해커들의 정교한 계획과 기술적 취약점 및 사회 공학적 수단 활용으로 거래소의 다중 보안 장벽을 뚫고 막대한 경제적 손실과 신뢰 위기를 초래했습니다.
바이비트가 이번 돌발 보안 사고에 신속하게 대응하고 비교적 투명하게 처리한 것은 시장 불안을 완화하는 데 도움이 되었습니다. 더욱 고무적인 것은 동료 거래소들의 지원과 보안 기관의 적극적인 협력이 암호화폐 커뮤니티의 상호 지원 정신을 보여주었다는 점입니다. 이번 사건은 업계 위험을 경고함과 동시에 암호화폐 분야의 성숙도와 회복력이 점점 강화되고 있음을 보여주고 있습니다.
향후 암호화폐 업계는 이번 사건을 계기로 보안 분야의 전면적인 업그레이드를 맞이할 것으로 보입니다. 중앙화 거래소는 기술 보안 투자를 지속적으로 강화하고, 다중 서명 월렛, 스마트 계약, 내부 리스크 관리 등의 보안 방어 수준을 높여야 할 것입니다. 규제 기관 또한 CEX에 대한 규제 감독을 더욱 강화하여 업계의 건전한 발전을 도모할 수 있습니다. 사용자 입장에서는 이번 사건이 자산 안전이 암호화폐 시장 참여의 최우선 고려 사항임을 다시 한번 상기시켰으며, 위험 분산과 더 안전한 자산 보관 방식 선택의 중요성이 더욱 부각되고 있습니다.
최신 진행 상황 (2025년 2월 22일 09:55 HKT 기준)
바이비트는 Web3 감사 기관 Hacken과 협력하여 준비금 증명(PoR)을 발표하여 플랫폼의 지급 능력을 입증했습니다.
비트겟, 엠이엑스씨 등 거래소들이 지속적으로 바이비트에 ETH와 stETH 대출을 제공하여 유동성 압박을 완화하고 있습니다.
쿠코인이 바이비트를 지원하여 자금 흐름을 모니터링하고 의심스러운 자산을 동결하고 있습니다.
Safe 측이 월렛 기능을 일시 중단하고 전면적인 보안 점검을 실시하고 있습니다.
창펑자오(CZ)는 바이낸스 공식이 바이비트에 대출을 제공하지 않았으며, 관련 자금 이체는 개인적인 고래 행동일 가능성이 있다고 밝혔습니다.
체인 추적가 ZachXBT가 Lazarus Group이 이번 공격의 기획자라고 확인했습니다.
바이비트 해커가 cmETH 스테이킹 해제를 시도했지만 계약에 의해 거부되었습니다.
바이비트 CEO는 모든 출금 요청이 처리되었으며, 전체 사건 보고서를 발표할 것이라고 밝혔습니다.
