本期編輯 | 吳說區塊鏈
Bybit 被盜近 15 億美金 人類歷史上金額最大的盜竊案 朝鮮黑客是如何做到的?
2 月 22 日上午,Bybit CEO Ben Zhou 發推表示,自黑客攻擊事件以來(10 小時前),Bybit 經歷了我們見過的最多的提款數量,總共有超過 35 萬筆提款請求,到目前為止,大約有 2100 個提款請求有待處理。總體 99.994% 的提款已完成。整個團隊整夜保持清醒,處理和回答了客戶的問題和疑慮。
Bybit CEO BEN 表示,不幸中的萬幸是還可以抗住,公司資產大於 15 億美金;有一個冷錢包也在 safe 中有近 30 億美金 USDT,但幸好沒有遭到盜幣;如果被盜了超過百億,可能就要考慮賣公司的問題了;此前從來沒有發生大的安全事故,可能讓公司放鬆了警惕,還有很多需要升級的安全措施。
Coinbase 主管 Conor Grogan 披露數據表示,Bybit 黑客(很可能來自朝鮮)已成為全球第 14 大 ETH 持有者,目前持有約 0.42% 的以太坊代幣總供應量,超過了 Fidelity、以太坊聯合創始人 Vitalik Buterin 的 ETH 持有量,並且是以太坊基金會 ETH 持有量的 2 倍以上。
據 @EmberCN 監測,Bybit 黑客於 1 小時前嘗試解質押 1.5 萬枚 cmETH,但被 cmETH 提款合約退回。黑客隨後在 DODO 平臺進行了 cmETH 交易授權,但因流動性不足未能完成交易。分析認為這部分資產有望被攔截。除了這 1.5 萬枚 cmETH,Bybit 的被盜 ETH 數量為 49.9 萬枚(價值約 13.7 億美元),被黑客分散存放在 51 個地址中。
Lookonchain 發推稱,據 CoinMarketCap 數據統計,Bybit 在遭黑客攻擊前擁有 162 億美元儲備資產,被盜 14 億美元資產佔比約 8.64%。
據 @EmberCN 監測,MEXC 熱錢包向 Bybit 冷錢包轉款 12,652 枚 stETH (約合 3375 萬美元)。Bybit 目前應該是收到了 64,452 枚 ETH (約合 1.7 億美元) 的借款支援。來自 Bitget、從 Binance 提款的某機構以及 MEXC。某巨鯨或機構從幣安向到 Bybit 冷錢包轉入 11,800 枚 ETH (價值 3,100 萬美元)作為 Bybit 客戶提款支持。
Bitget CEO Gracy 表示,主動與 Bybit CEO BEN 交流並主動提供幫助,沒有要求任何抵押、沒有利息、沒有時間限制、也沒有需要任何承諾,Bybit 不再需要的時候轉回即可,目前瞭解到的情況是 Bybit 流動性已經完善,不需要更多的支持。Bybit CEO BEN 說,Bitget 第一個給出援手,沒有任何要求,還有抹茶和派網。
OKX 總裁 Hong Fang 表示,與 Bybit 黑客相關地址已被添加到 OKX 的黑名單中,工程師團隊正在密切監視這些地址,一旦有資金移動將立即採取行動。我們的團隊也正在與 Bybit 團隊聯繫,提供他們在 IT 安全和流動性支持方面的任何幫助。
據 Taproot Wizards 聯合創始人 Eric Wall 分析,Bybit 被盜事件已基本確認為朝鮮黑客組織 Lazarus Group 所為。據 Chainalysis 2022 年報告,該組織處置被盜資金通常遵循固定模式,整個過程可能持續數年。2022 年的數據顯示,該組織仍持有 2016 年攻擊所得的 5500 萬美元資金,顯示其並不急於快速變現。
關於被盜資金的處置流程:第一步:將所有 ERC20 代幣(包括 stETH 等流動性衍生品)轉換為 ETH;第二步:將獲得的 ETH 全部兌換為 BTC;第三步:通過亞洲交易所將 BTC 逐步兌換為人民幣。
分析指出,Bybit 目前通過借款方式補充約 15 億美元的 ETH 缺口,這一策略可能基於收回被盜資金的期望。但鑑於確認為 Lazarus Group 所為,追回可能性極低,Bybit 將不得不購入 ETH 償還貸款。長期來看,Bybit 購入 ETH 與 Lazarus Group 拋售 ETH 換取 BTC 的行為或將相互抵消,而 Lazarus Group 獲取的 BTC 將在未來數年內逐步轉換為賣壓。
Safe 在社交媒體上針對「ByBit 顯示了看似正確的交易信息,然而在鏈上執行了一個具有所有有效簽名的惡意交易」問題回應稱:未發現代碼庫洩露:對 Safe 代碼庫進行了徹底檢查,未發現洩露或修改的證據。未發現惡意依賴項:沒有跡象表明 Safe 代碼庫中的惡意依賴項會影響交易流(即供應鏈攻擊);在日誌中未檢測到對基礎設施的未經授權的訪問;沒有其他 Safe 地址受到影響。
Safe 表示,目前其暫時暫停了 Safe{Wallet} 功能,以用戶確保對 Safe 平臺的安全性有絕對的信心。儘管調查顯示沒有證據表明 Safe{Wallet} 前端本身遭到入侵,但我們正在進行更徹底的審查。
慢霧餘弦表示,Safe 合約沒問題,問題在非合約部分,前端被篡改偽造達到欺騙效果。這個不是個案。朝鮮黑客去年就搞定過好幾家,如:WazirX $230M Safe 多籤,Radiant Capital $50M Safe 多籤,DMM $305M Gonco 多籤。這種攻擊手法工程化成熟。其他家也需要多注意,多籤可能不止 Safe 存在這類攻擊點。慢霧首席信息安全官 23pds 表示,Bybit 攻擊者一次偽造簽名攻擊就拿走了 safe owner 權限,推測一定有不止一位的 macOS 或 Windows 電腦被控了,而且攻擊者可能在內網呆了有段時間,能監控內部聊天、轉賬時間等信息。
Ethena Labs 創始人@leptokurtic_ 表示,Ethena 處理了最大單日贖回,並在新聞爆發的第一時間內平倉了所有未實現的風險敞口。儘管 Bybit 作為全球第二大衍生品交易所代表了超過 20%的避險敞口,但 USDe 從未出現過低估押金的情況。希望此次事件能夠驗證為降低使用 OES 託管解決方案用戶風險而做出的一些設計決策。
Qi Zhou 表示,Bybit 被黑事件引發了大家對多籤錢包安全性的深刻反思。在多籤交易中,當第一筆交易提交後,後續簽名者可能會盲目信任第一個人的交易數據,直接進行簽名,而忽略了獨立交叉檢查的重要性。這種做法實際上違背了多籤機制的設計初衷,導致安全隱患。 此次事件的影響非常深遠。目前,大部分鏈上總鎖定價值(TVL)的資產都託管在多籤管理的合約中,包括跨鏈橋、DeFi 協議等核心基礎設施。如果在合約管理過程中缺乏嚴格的審核和操作規範,類似的安全事件很可能會再次發生。因此,行業需要重新審視多籤流程的安全性,確保每一步都經過獨立驗證,避免因信任盲區而引發風險。
硬件錢包開發商 Keystone 表示,長期以來,對於諸如 Safe 這樣的多籤方案,硬件錢包用戶往往只能“盲目”簽署交易,而無法真正核驗自己在確認什麼。在前端受到攻擊的情況下,硬件錢包就是用戶的最後一道防線。現在,Keystone 聯合 SlowMist、BlockSec、Offside Labs,希望與 Safe 合作,推動硬件錢包在 Safe 交易中的安全可視化,徹底解決盲籤的歷史遺留問題,讓用戶真正看清自己簽署的內容。同時,也希望與交易所 Binance、OKX、Bitget、Bybit 等合作,為冷錢包的多籤工作流打造更完善的安全方案,確保在更復雜的資產管理場景下,資產始終受到嚴格保護。
據 SoSoValue 統計以及鏈上安全團隊 TenArmor 的最新監測數據顯示,Bybit 交易平臺在過去 12 小時內(截止北京時間 2 月 22 日下午)共計流入資金超過 40 億美元,具體包括 63,168.08 枚 ETH、31.5 億美元的 USDT、1.73 億美元的 USDC 和 5.25 億美元的 CUSD。根據比較資金流入數據,此次資金流入已完全覆蓋昨日因黑客攻擊所導致的損失。同時,Bybit 交易所的各項服務,包括提現功能,均已恢復正常。
Bybit CEO BEN 表示在被黑的關鍵時刻獲得了這些企業的幫助:比特大陸旗下的 Antalpha、Bitget、Pionex、MEXC、Mirana、Sosovalue、Solana 基金會、TON 基金會、Blockchain Center Dubai、Ghaf Capital、Bitvavo、Tether、Galaxy。
DWF Labs 合夥人 Andrei Grachev 在 X 上表示,Bybit 的黑客事件非常嚴重,必須進行徹底調查。目前 DWF Labs 尚未從 Bybit 提出任何提款請求,並表示如果需要,他們願意提供 ETH 支持。他還提到,十分好奇 Vitalik 會如何處理此事,回顧十年前,Vitalik 曾推動以太坊在 DAO 黑客事件後回滾交易。
OKX 總裁 Hong Fang 表示,與 Bybit 黑客相關地址已被添加到 OKX 的黑名單中,工程師團隊正在密切監視這些地址,一旦有資金移動將立即採取行動。我們的團隊也正在與 Bybit 團隊聯繫,提供他們在 IT 安全和流動性支持方面的任何幫助。
Mask Network 創始人 Suji Yan 表示已將一些 ETH 存回 Bybit,公開地址大概還有不到 1000 萬美金,會持續支持希望可以共渡難關。Conflux 聯合創始人 Forgiven 也表示註冊了 Bybit 並完成 KYC,將 ETH 充值已表示支持,但不建議普通用戶效仿,建議等 24–72 小時穩定後再重返 Bybit。火幣聯合創始人杜均也表示會充值 1 萬 ETH 到 Bybit, 並且一個月內不會提出。
北京時間 2 月 22 日下午,ZachXBT 表示,Bybit 事件中的 Lazarus Group 轉移了 5000 個 ETH 到新地址,並通過 eXch(一箇中心化混幣器)洗錢,且通過 Chainflip 將資金橋接到比特幣。Bybit CEO Ben Zhou 表示,其監測到黑客正試圖通過 Chainflip 轉移 BTC。希望跨鏈橋項目幫助 Bybit 阻止並防止進一步將資產轉移到其他鏈。Bybit 將很快向任何幫助其阻止或追蹤導致資金追回的資金的人發佈賞金計劃。
2 月 22 日下午,據 @EmberCN 消息,已有 5 家機構/個人向 Bybit 提供總計 12 萬枚 ETH(約 3.21 億美元)的借款支援。Bitget:40,000 ETH(約 1.06 億美元);從幣安提款的機構/鯨魚:11,800 ETH(約 3102 萬美元);MEXC:12,652 stETH(約 3375 萬美元);幣安或另一個從幣安提款的機構/鯨魚:36,000 ETH(約 9654 萬美元);0x327…45b 地址:20,000 ETH(約 5370 萬美元)。
據 Ethescan 瀏覽器,由 Mantle 支持的 mETH Protocol 通過管理權限從 Bybit Exploiter 4 中搶救回了 1.5 萬枚 cmETH,價值約 4,276 萬美元。在早先時候,mETH Protocol 表示 cmEH 提現已恢復。(被誤認為是黑客銷燬)
mETH Protocol 在 X 上發文回應,針對 Bybit 安全事件,團隊採取多項應急措施以減輕影響。首先,協議內置的 8 小時提款延遲機制成功為團隊爭取了寶貴的響應時間,及時暫停了 cmETH 提款,阻止了未經授權的提現行為。其次,mETH Protocol 對黑客的錢包地址進行了黑名單處理,有效阻止了進一步的 cmETH 轉賬及其在協議中的操作。此外,協議還減少了在 Mantle 網絡 L2 上的 cmETH 流動性。最終,mETH Protocol 成功從黑客地址回收了 15,000 cmETH,恢復了 cmETH 供應的完整性。
CZ 發文表示,有些人質疑我提出的停止所有提款作為標準安全預防措施的建議,我的目的是根據我的經驗和觀察分享一種實用的方法,但這兩種方法都沒有絕對的對錯。我的指導原則始終是傾向於更安全的一面。發生任何安全事件後,暫停一切,確保我們完全瞭解發生了什麼,黑客如何侵入系統,哪些設備被入侵,再三檢查一切是否安全,然後恢復運營。當然,暫停提款可能會引起更多恐慌。我的推文是為了分享什麼可能有效,我的目的是及時表示支持。我相信 Ben 根據他掌握的信息做出了最好的決定。
Bybit CEO BEN 在 X 上發文表示,“我同意 CZ 的觀點,如果此次黑客攻擊是通過滲透我們的內部系統或熱錢包被攻破,我們會立即暫停所有提現,直到找到問題的根本原因。但昨天被攻破的是我們的 ETH 冷錢包,這與我們的任何內部系統無關。因此,我可以果斷決定讓 Bybit 的所有提現和系統功能照常運行。” BEN 還強調,“在昨晚的危機中,Binance 和 CZ 以及許多合作伙伴和行業領袖都主動提供了幫助,我們對此深表感激”。
據 GreekLive,儘管 Bybit 發生了 15 億美元以太坊被盜事件,整體市場情緒仍保持謹慎樂觀。市場認為黑客事件的影響可控,關鍵支撐位集中在 9.5–9.6 萬美元區間。幣安和 Bitget 已提供緊急流動性支持,交易者積極售出低波動率期權(29% 波動率),表明對進一步下跌的擔憂有限。預期市場將快速恢復並回歸均值。
Tether CEO Paolo Ardoino 在 X 上表示,已凍結與 ByBit 黑客事件相關的 18.1 萬 USDT。儘管金額不大,但這是一項正當的工作,Tether 將繼續監控情況。
Bybit 現正式啟動“賞金追回計劃”,面向全球網絡安全和加密分析領域的精英發出號召,共同追查加密歷史上最大規模盜竊案的肇事者。成功追回資金的貢獻者將獲得 10% 的獎勵,賞金總額基於事件發生時價值超過 14 億美元的被盜 ETH 的可驗證追回金額計算。若全部資金追回,賞金總額可能高達 1.4 億美元。Bybit CEO Ben Zhou 表示,“希望通過“賞金追回計劃”正式獎勵那些為我們提供專業知識、經驗和支持的社區成員,我們不會止步於此。”有意參與“賞金追回計劃”的個人或組織,請發送電子郵件至:bounty_program@bybit.com
慢霧文章:在本次事件中,Safe 合約沒問題,問題在非合約部分,前端被篡改偽造達到欺騙效果。這個不是個案。朝鮮黑客去年就以此方式攻擊了好幾個平臺。但疑問包括:攻擊者可能事先獲取了 Bybit 內部財務團隊的操作信息,掌握了 ETH 多籤冷錢包轉賬的時間點?通過 Safe 系統,誘導簽名者在偽造界面上籤署惡意交易?Safe 的前端系統是不是被攻破並被接管了?簽名者在 Safe 界面上看到的是正確的地址和 URL,但實際簽名的交易數據已被篡改?關鍵問題在於:是誰最先發起簽名請求?其設備安全性如何?
北京時間 2 月 22 日晚間,鏈上記錄顯示,疑似 Bybit 的地址(0x2E…1b77)在 10 小時前從 0xEC…B5E76 收取 1 億枚 USDT,並在 7 小時前分別向 Galaxy Digital 和 FalconX 的 OTC 地址轉入 5000 萬美元,購得共計 3.69 萬枚 ETH,並在 1 小時(北京時間 22:32)前存入了 Bybit。
Cobo 文章指出,Bybit 事件不僅暴露了具體的操作漏洞,更揭示了當前數字資產託管體系的架構性缺陷。Bybit 事件暴露出傳統多重簽名安全的根本缺陷 — — 沒有獨立的交易驗證層,攻擊者可以操縱界面、合約邏輯和交易數據來欺騙簽名者。Bybit 事件暴露出傳統多重簽名安全的根本缺陷 — — 沒有獨立的交易驗證層,攻擊者可以操縱界面、合約邏輯和交易數據來欺騙簽名者。Cobo 正在推動與各大硬件錢包廠商的深度合作,在保留其原有安全方案的基礎上,構建獨立的第三方簽名審查通道。
