2025年2月21日,著名加密货币交易所Bybit遭遇重大安全漏洞,导致价值近15亿美元的以太币(ETH)被盗。这是加密货币历史上最大规模的数字盗窃案。幸运的是,Bybit正在与Chainalysis等行业专家密切合作,追踪被盗资产。他们还启动了一项赏金回收计划,最高可获得10%的被盗资金作为奖励。
在这篇博客中,我们将探讨这次攻击是如何发生的;攻击者的战术、技术和程序(TTPs)以及它们与朝鲜民主主义人民共和国(DPRK)的一致性;以及Chainalysis如何与Bybit和执法部门合作,帮助收回资金。
Bybit攻击的细节
Bybit黑客事件提醒我们,国家支持的网络罪犯,特别是那些与DPRK有关的人,正在不断升级他们的战术。正如我们最近在2025年加密犯罪报告中披露的,2023年,与朝鲜有关的黑客窃取了约6.605亿美元,涉及20起事件。2024年,这一数字增加到13.4亿美元,涉及47起事件,增幅达102.88%。Bybit黑客事件单独造成的损失,几乎超过了朝鲜在2024年全年窃取的所有资金。
这次攻击突出了DPRK常用的剧本:策划社会工程攻击,采用复杂的洗钱方法,试图无声无息地转移被盗资金。从Bybit攻击中获得的资金也集中在其他已知的DPRK相关攻击的地址中,进一步证明这是由该国家行为者所为。
以下是Bybit攻击过程的逐步分析:
- 通过社会工程初次入侵:黑客通过对冷钱包签名者发动网络钓鱼攻击,诱使他们签署恶意交易,将Safe的多重签名钱包实现合约替换为恶意合约,从而获得了Bybit用户界面的访问权限。
- 发起未经授权的转账:在Bybit从以太坊冷钱包向热钱包进行常规转账时,攻击者截获了这一过程。他们设法将约401,000 ETH(当时价值近15亿美元)重新路由到他们控制的地址。
- 通过中间钱包分散资产:被盗资产随后被转移到一个复杂的中间地址网络。这种分散是一种常见的策略,用于模糊痕迹,阻碍区块链分析师的跟踪工作。
- 兑换和洗钱:黑客将大部分被盗的ETH兑换成BTC和DAI等代币。他们还利用去中心化交易所(DEX)、跨链桥梁和无需KYC的即时兑换服务,在网络间转移资产。
- 保持资金静止和策略性洗钱:被盗资金的一大部分一直保持在各种地址中静止不动,这是朝鲜相关黑客常用的策略。通过延迟洗钱行动,他们旨在度过通常会在这种高调事件后立即出现的严格审查。
下面的Chainalysis Reactor图显示了目前洗钱努力的复杂性:中间地址的网络、代币互换和跨链移动,不仅试图掩盖被盗资金,也展示了这次攻击对整个加密生态系统的广泛影响。
Bybit黑客事件后的行业合作
尽管Bybit遭受的攻击很严重,但区块链技术的固有透明性给试图洗钱的恶意行为者带来了重大挑战。每一笔交易都记录在公开账本上,使得当局和网络安全公司能够实时追踪和监控非法活动。
跨加密生态系统的合作至关重要,才能应对这些威胁。Bybit的快速反应,包括承诺赔付客户损失以及与区块链取证专家合作,体现了行业相互支持和抗压能力的决心。通过整合资源和情报,加密社区可以加强对抗如此复杂网络攻击的防御,共同构建更安全的数字金融环境。
我们正与全球团队、客户和公私部门合作伙伴合作,采取多种途径来应对这次攻击,并已经与业内人士合作冻结了超过4000万美元的被盗资金,我们将继续与公共和私营部门组织合作,尽可能多地收回资金。我们将继续就此事提供更新信息。
本网站包含第三方网站的链接,这些网站不受Chainalysis, Inc.或其关联公司(统称为"Chainalysis")的控制。访问此类信息并不意味着Chainalysis认可、批准或推荐该网站或其运营商,Chainalysis也不对其托管的产品、服务或其他内容负责。
本材料仅供参考,不旨在提供法律、税务、财务或投资建议。收件人应在做出此类决定之前咨询自己的顾问。Chainalysis对收件人使用本材料做出的任何决定或其他行为或不作为概不负责。
Chainalysis不保证或保证本报告中的信息的准确性、完整性、及时性、适用性或有效性,对于任何因错误、遗漏或其他不准确之处而产生的任何索赔概不负责。
本文最初发表于Chainalysis。
