2025年2月21日,著名加密貨幣交易所Bybit遭遇重大安全漏洞,導致價值近15億美元的以太幣(ETH)被盜。這是加密貨幣歷史上最大規模的數字盜竊案。幸運的是,Bybit正在與Chainalysis等行業專家密切合作,追蹤被盜資產。他們還啟動了一項賞金回收計劃,最高可獲得10%的被盜資金作為獎勵。

在這篇部落格中,我們將探討這次攻擊是如何發生的;攻擊者的戰術、技術和程式(TTPs)以及它們與朝鮮民主主義人民共和國(DPRK)的一致性;以及Chainalysis如何與Bybit和執法部門合作,幫助收回資金。

Bybit攻擊的細節

Bybit駭客事件提醒我們,國家支援的網路罪犯,特別是那些與DPRK有關的人,正在不斷升級他們的戰術。正如我們最近在2025年加密犯罪報告中披露的,2023年,與朝鮮有關的駭客竊取了約6.605億美元,涉及20起事件。2024年,這一數字增加到13.4億美元,涉及47起事件,增幅達102.88%。Bybit駭客事件單獨造成的損失,幾乎超過了朝鮮在2024年全年竊取的所有資金。

這次攻擊突出了DPRK常用的劇本:策劃社會工程攻擊,採用複雜的洗錢方法,試圖無聲無息地轉移被盜資金。從Bybit攻擊中獲得的資金也集中在其他已知的DPRK相關攻擊的地址中,進一步證明這是由該國家行為者所為。

以下是Bybit攻擊過程的逐步分析:

1. 透過社會工程初次入侵:駭客透過對冷錢包簽名者發動網路釣魚攻擊,誘使他們簽署惡意交易,將Safe的多重簽名錢包實現合約替換為惡意合約,從而獲得了Bybit使用者介面的訪問許可權。
2. 發起未經授權的轉賬:在Bybit從以太坊冷錢包向熱錢包進行常規轉賬時,攻擊者截獲了這一過程。他們設法將約401,000 ETH(當時價值近15億美元)重新路由到他們控制的地址。
3. 透過中間錢包分散資產:被盜資產隨後被轉移到一個複雜的中間地址網路。這種分散是一種常見的策略,用於模糊痕跡,阻礙區塊鏈分析師的跟蹤工作。
4. 兌換和洗錢:駭客將大部分被盜的ETH兌換成BTC和DAI等代幣。他們還利用去中心化交易所(DEX)、跨鏈橋樑和無需KYC的即時兌換服務,在網路間轉移資產。
5. 保持資金靜止和策略性洗錢:被盜資金的一大部分一直保持在各種地址中靜止不動,這是朝鮮相關駭客常用的策略。透過延遲洗錢行動,他們旨在度過通常會在這種高調事件後立即出現的嚴格審查。

下面的Chainalysis Reactor圖顯示了目前洗錢努力的複雜性:中間地址的網路、代幣互換和跨鏈移動,不僅試圖掩蓋被盜資金,也展示了這次攻擊對整個加密生態系統的廣泛影響。

Bybit駭客事件後的行業合作

儘管Bybit遭受的攻擊很嚴重,但區塊鏈技術的固有透明性給試圖洗錢的惡意行為者帶來了重大挑戰。每一筆交易都記錄在公開賬本上,使得當局和網路安全公司能夠實時追蹤和監控非法活動。

跨加密生態系統的合作至關重要,才能應對這些威脅。Bybit的快速反應,包括承諾賠付客戶損失以及與區塊鏈取證專家合作,體現了行業相互支援和抗壓能力的決心。透過整合資源和情報,加密社群可以加強對抗如此複雜網路攻擊的防禦,共同構建更安全的數字金融環境。

我們正與全球團隊、客戶和公私部門合作伙伴合作,採取多種途徑來應對這次攻擊,並已經與業內人士合作凍結了超過4000萬美元的被盜資金,我們將繼續與公共和私營部門組織合作,儘可能多地收回資金。我們將繼續就此事提供更新資訊。

Chainalysis 2025年加密犯罪報告

預訂您的副本

本網站包含第三方網站的連結,這些網站不受Chainalysis, Inc.或其關聯公司(統稱為"Chainalysis")的控制。訪問此類資訊並不意味著Chainalysis認可、批准或推薦該網站或其運營商,Chainalysis也不對其託管的產品、服務或其他內容負責。

本材料僅供參考,不旨在提供法律、稅務、財務或投資建議。收件人應在做出此類決定之前諮詢自己的顧問。Chainalysis對收件人使用本材料做出的任何決定或其他行為或不作為概不負責。

Chainalysis不保證或保證本報告中的資訊的準確性、完整性、及時性、適用性或有效性,對於任何因錯誤、遺漏或其他不準確之處而產生的任何索賠概不負責。

本文最初發表於Chainalysis。