原創|Odaily星球日報(@OdailyChina)
作者|Wenser(@wenser 2010 )
北京時間 2 月 21 日晚上 11 點 20 分,ZachXBT 發文表示:“監測到 Bybit 有可疑資金流出,規模高達 14.6 億美元”。根據 Beosin Trace 監測,Bybit 共計被盜 ETH 及衍生品達 514, 723 枚。隨後,Bybit 聯創 Ben Zhou 發文證實了 Bybit 官方冷錢包被盜一事,並著手進行安全處理。
Odaily星球日報將於本文對此事進行簡要跟蹤,供讀者參考。
涉及資金主要為 ETH,涉案規模達 14.6 億美元
11 點 20 分,ZachXBT 發佈警示消息後,Odaily星球日報在稍作驗證後,第一時間進行了跟進。
當時可以確定的消息是,黑客相關地址為 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2;在盜取資金後,其在 DEX 上將 mETH & stETH 快速兌換為了 ETH。
黑客第一時間進行 Swap 兌換
就在外界還在猜測,“規模如此之大的一筆資金的流動,是否為 Bybit 官方整理錢包或有其他目的”之時,ZachXBT 很快給出了新的提示:“我的消息來源確認 Bybit 資金流出是一起安全事件(My sources confirm it's a security incident)。”
此外,ZachXBT 向各大交易所、服務商等有關人員提醒道:“建議拉黑以下 EVM 地址——
0x47666fab8bd0ac7003bce3f5c3585383f09486e2;
0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e;
0x36ed3c0213565530c35115d93a80f9c04d94e4cb;
0x1542368a03ad1f03d96D51B414f4738961Cf4443;
0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。”
此舉意在第一時間切斷黑客清洗資金的 CEX 渠道,避免 Bybit 被盜資金的進一步流失。
根據 Beosin Trace 監測統計,被盜資產分別包括:
401, 347 枚 ETH,價值 11.2 億美元;
90, 376 枚 stETH,價值 2.5316 億美元;
15, 000 枚 cmETH,價值 4, 413 萬美元;
8, 000 枚 mETH,價值 2300 萬美元。
目前資金分成 1 萬 ETH 一組沉澱於 40 多個以太坊地址,所有黑客地址都已加入 Beosin KYT 標籤庫中,Beosin KYT 將對所有涉及黑客地址的資金轉賬進行告警。Beosin 安全團隊分析這次事件的攻擊手法和 WazirX 比較類似,都是通過前端 UI 欺騙,讓多籤錢包簽署了惡意的內容,篡改了多籤錢包的邏輯實現合約,導致多籤錢包的資金被轉出。
Bybit 官方回應:多籤錢包交易遭攻擊篡改,其餘冷錢包資產安全,交易所提幣正常
Bybit 聯合創始人 Ben Zhou 於 X 平臺對外發聲:“Bybit ETH 多籤冷錢包大約 1 小時前向 Bybit 熱錢包進行了一筆轉賬。這筆特定交易可能遭到了篡改,中間所有多籤錢包簽署者都看到了篡改的 UI 界面顯示了正確的轉賬地址,且網站鏈接來自 @safe 。然而,簽名信息是要更改我們 ETH 冷錢包的智能合約邏輯。這導致黑客控制了我們多籤簽署的特定 ETH 冷錢包,並將冷錢包中的所有 ETH 轉賬到了某未知地址。請放心,Bybit 其他冷錢包都是安全的,CEX 內部所有提款均正常運行。”
此外,Ben Zhou 也第一時間向外界發出求助信息:“我們會隨時向大家公佈該事件的最新進展。如果任何團隊能幫助我們追蹤被盜資金,將不勝感激。”
鏈上資金動向:黑客正在快速砸盤 ETH,已將 10000 枚 ETH 轉入 39 個地址
11 點 35 分,Arkham 監測到,Bybit 流出的 14 億美元的 ETH 和 stETH 已經轉移到新的地址進行出售。截止當時,黑客已出售價值 2 億美元的 stETH。鏈上追蹤地址為 https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2。
零點整,ZachXBT 再次更新最新鏈上資金動向,其中,10000 枚 ETH 被黑客分散轉入 39 個地址當中,此外,該名黑客還將 10000 枚 ETH 轉入另外 9 個地址。
12 點 18 分,據 Arkham 監測統計,價值約 1 億美元的 ETH (約 40 萬枚)現已從黑客原始地址轉移至新錢包。
鏈上資金動向
截止撰稿前,黑客原始地址僅剩餘 366.9 萬美元資產,其中 ETH 持倉量驟減至 1346 枚。
鏈上信息
據安全公司慢霧創始人餘弦小範圍調查後發文表示,綜合搞 Safe 多籤的手法及目前洗幣手法,初步懷疑此次事件或為朝鮮黑客所為,具體信息仍然有待進一步的追蹤。
隨後,慢霧隨後發佈 Bybit 攻擊者操作細節:
一個惡意的實施合約於 UTC 2025-02-19 7: 15: 23 被部署: https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516
UTC 2025-02-21 14: 13: 35 ,攻擊者利用三位所有者簽署交易,用惡意合約替換 Safe 的實施合約: https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
攻擊者隨後利用惡意合約中的後門函數“sweepETH”和“sweepERC 20 ”竊取熱錢包。
Bybit 被盜事件餘波:目前處於可控範圍內
高達 14.6 億美元的 ETH 相關資產,創 2025 年乃至 2023 年以來最大的安全事件被盜金額,由此也進一步加劇了市場對於 ETH 價格表現以及 Bybit 資產安全的擔憂。針對前者,目前來看短期確實存在一定風險。
但中長期來看,市場擔憂應當無虞。有觀點認為,這是因為 ETH 是除 BTC 以外最去中心化的資產,黑客大概率會持有多數 ETH,而非直接低價砸盤。
針對後者,Bybit 官方也第一時間做出了回應。22 日零點 7 分,Bybit 聯創 Ben Zhou 發文回應道:“即使這次黑客攻擊造成的損失未能追回,Bybit 的資產仍然是 1: 1 保證的,我們可以承擔損失。”盡顯老牌交易所穩紮穩打的底氣與自信。
關於這一點,除了交易所常見的默克爾樹儲備金鍊上證明以外,根據 Bybit 聯創兼 CEO Ben Zhou 此前在採訪中提到的信息也可作為佐證。其中,他提到“Bybit 公司資產中,約 80% 是穩定幣,剩餘部分以法幣形式存在。這種配置的核心目標是確保交易所的財務穩健,而不是追求資產增值。”
多方援助、表態
事件發生後,CZ 回覆 Ben Zhou 推文表示:“這不是一個容易處理的情況。建議暫時停止所有提款,作為標準的安全預防措施。如有需要,將提供任何幫助。”幣安聯創何一回應 Bybit 首席執行官 Ben Zhou 稱,“若有需要將提供支持”。
TRON 創始人孫宇晨發文表示,“正在密切關注 Bybit 安全事件,將盡全力協助合作伙伴追蹤相關資金,並提供一切力所能及的支持。”
此外,鏈上分析師 @ai_ 9684 xtpa 分析認為:“Ethena 有 21% 的 USDe 在 Bybit 中執行 Delta 中性對沖策略,其中 ETH 部分價值 2.27 億美元,不確定是否會受影響。Bybit 確認被盜後,ENA 已下跌 11.5% 並收回今日漲幅。”
Ethena Labs 隨後發文稱,已注意到 Bybit 事件,所有支持 USDe 的現貨資產均通過場外託管解決方案持有,任何交易所(包括 Bybit)中均沒有存放現貨價值儲備資金。目前 Bybit 對沖頭寸的未實現損益總額不足 3000 萬美元,不到儲備基金的一半,USDe 有足夠的抵押餘額,會在收到更新後及時提供更多信息。
最新消息,Bybit CEO Ben Zhou 於 X 平臺發文表示,即將進行直播回答所有問題。
Odaily星球日報也將持續追蹤 Bybit 資產被盜事件的最新消息,期待此事有一個圓滿的處理結局。
