黑天鵝降臨：Bybit 近15 億美元ETH被盜事件詳細追蹤

作者：Spirit

事件概述

2025年2月21日，加密貨幣交易所 Bybit 披露其以太坊多簽冷錢包遭遇未授權活動，導致近?15?億美元的 ETH 及 stETH 資產被盜。初步分析指向黑客利用精心策劃的攻擊，通過偽裝交易界面和替換智能合約等復雜技術手段，成功控制了 Bybit 的 ETH 冷錢包并轉移資金。事件發(fā)生后，Bybit 迅速發(fā)布聲明，啟動調查，并尋求外部資金支持以應對用戶提幣潮。此次事件是加密貨幣歷史上最大規(guī)模的單次被盜事件，引發(fā)了市場震蕩和對中心化交易所安全性的關注。

事件時間線 (HKT, UTC+8)

以下時間線基于公開信息整理，以香港時間 (HKT, UTC+8) 為基準：

2025年2月19日 15:15 HKT (UTC 07:15): ?惡意合約被部署 (合約地址：`0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516`)。慢霧團隊分析顯示，該惡意合約是此次攻擊事件的預先部署環(huán)節(jié)。

2025年2月21日 14:13 HKT (UTC 06:13): 黑客利用三個 Owner 簽名，發(fā)起交易 (交易哈希：`0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882`)，將 Bybit 多簽冷錢包的 Safe 實現合約替換為上述惡意合約。這被認為是攻擊的關鍵步驟，為后續(xù)資金盜竊鋪平道路。

2025年2月21日 23:30 HKT 左右: Bybit 以太坊冷錢包發(fā)生異常資金轉移，約 15?億美元的 ETH 和 stETH 被盜。X (原 Twitter) 用戶 @OrdzWorld 率先監(jiān)測到 Bybit 冷錢包向溫錢包異常轉賬的活動。

2025年2月21日 23:48 HKT: Bybit CEO Ben Zhou 在社交媒體發(fā)文，承認發(fā)生未經授權的 ETH 冷錢包轉賬事件，初步判斷為“屏蔽 UI 欺騙攻擊”，并強調其他冷錢包安全，提款正常。

2025年2月21日 23:51 HKT: Bybit 官方賬號 @Bybit\_Official 在 X 平臺發(fā)布官方聲明，確認檢測到 ETH 多簽冷錢包的未授權活動，并表示攻擊者通過偽裝簽名界面的復雜攻擊操控了交易。Bybit 聲明已啟動調查，并強調用戶資金安全。

2025年2月22日 00:11 HKT: Bybit CEO Ben Zhou 再次發(fā)文，強調 Bybit 具備償付能力，用戶資產 1:1 擔保。

2025年2月22日 01:00 HKT: 慢霧團隊 @SlowMist\_Team 在 X 平臺披露更多技術細節(jié)，指出惡意合約早在 2 月 19 日已部署，攻擊者利用后門函數 `sweepETH` 和 `sweepERC20` 以及 `DELEGATECALL` 邏輯實施盜竊。

2025年2月22日 01:07 HKT:?X 用戶 @web3golder 報道 Bybit 面臨用戶提款潮，部分被盜資產已在去中心化交易所 (DEX) 兌換為 ETH，加劇市場擔憂。

2025年2月22日 01:24 HKT: BitMart 創(chuàng)始人 Sheldon 在 X 平臺發(fā)文表示，BitMart 已凍結相關地址，并將協助 Bybit 追回資產。

2025年2月22日 01:39 HKT:?安全團隊 Beosin 分析指出，黑客初始攻擊地址的手續(xù)費資金來自幣安交易所。

2025年2月22日 05:23 HKT: 鏈上偵探 ZachXBT (@ZachXBT) 在 X 平臺發(fā)文，提交證據報告，初步確認此次攻擊由朝鮮黑客組織 Lazarus Group 策劃。Arkham Intelligence 轉發(fā)了該信息。

2025年2月22日 07:27 HKT: Bybit 官方 X 平臺發(fā)文稱，已向有關部門報案，并正與鏈上分析提供商合作，以識別和隔離涉案地址，阻止黑客拋售 ETH。

2025年2月22日 09:09 HKT: ?鏈上數據分析師余燼 (@EmberCN) 監(jiān)測到，Bitget 向 Bybit 支援了 4 萬枚 ETH 借款，以緩解提現壓力。

2025年2月22日 09:14 HKT:?Bitget CEO Gracy Chen 在 X 平臺發(fā)文聲援 Bybit，表示相信 Bybit 客戶資金安全，無需恐慌。

2025年2月22日 09:21 HKT: Web3 審計機構 Hacken 發(fā)布儲備證明更新，稱 Bybit 儲備金仍超過負債，用戶資金得到全額支持。Bybit CEO Ben Zhou 回復稱，Hacken 的審計證明 Bybit 有能力彌補客戶損失。

2025年2月22日 09:28 HKT:?KuCoin CEO BC Wong 對 Bybit 表示支持，并稱 KuCoin 已協助監(jiān)控資金流向、凍結可疑資產。

2025年2月22日 09:30 HKT: 幣安創(chuàng)始人趙長鵬 (CZ) 在社交媒體回應稱，幣安官方暫未向 Bybit 拆借資金，相關資金轉移可能為巨鯨個人行為。

2025年2月22日 09:35 HKT: 多簽錢包協議 Safe 官方發(fā)布聲明，表示未發(fā)現代碼庫泄露，已暫停 Safe 功能以進行徹底檢查。

2025年2月22日 09:38 HKT: ?鏈上監(jiān)測顯示，MEXC 熱錢包向 Bybit 冷錢包轉移 1.26 萬枚 stETH，進一步提供流動性支持。

2025年2月22日 09:55 HKT: Bybit CEO Ben Zhou 表示，Bybit 正在從冷錢包轉移 29.5 億 USDT 至熱錢包，為計劃中的策略，并非再次被黑客入侵。

各方支持與流動性應對

Bybit 在事件發(fā)生后迅速采取行動，尋求多方支持以應對潛在的流動性危機和用戶信任危機：

• Bitget 的 ETH 借款: ?Bitget 向 Bybit 緊急借出 4 萬枚 ETH (約 1.059 億美元)，直接轉入 Bybit 冷錢包地址，用于緩解用戶提幣壓力。這筆借款體現了同行業(yè)交易所之間的互助精神。

• 橋接貸款 (Bridge Loan): Bybit CEO Ben Zhou 透露已與合作伙伴達成橋接貸款協議，金額約為被盜 ETH 價值的 80% (約 11.2 億美元)。貸款具體來源尚未公開，但可能包含 Bitget 的借款。橋接貸款作為短期融資工具，旨在快速補充流動性，避免 Bybit 需要立即在市場大量購買 ETH，造成進一步的市場波動。

• KuCoin 協助監(jiān)控與凍結: KuCoin CEO 表示已協助 Bybit 監(jiān)控被盜資金流向，并凍結可疑資產，嘗試減小損失。

• 財務審計與償付能力證明: Bybit 合作的 Web3 審計機構 Hacken 發(fā)布儲備證明更新， Bybit 的儲備金仍舊超過負債，用戶資金能夠得到全額支持。Bybit CEO Ben Zhou 亦表示 Bybit 有償付能力，用戶資產 1:1 擔保，即使黑客事件損失無法追回，Bybit 也能彌補用戶損失。

用戶提款處理: Bybit CEO 表示平臺提款功能正常運行，并強調 99.994% 的提款請求已完成，但承認處理大量提款請求可能存在延遲。

事件背景與揭示行業(yè)趨勢

Bybit 交易所概況: Bybit 成立于 2018 年，總部位于新加坡，是一家以衍生品交易為主的加密貨幣交易所，擁有超過千萬用戶，在行業(yè)內具有一定影響力。

加密貨幣盜竊事件頻發(fā): ?近年來，中心化交易所因其資金集中性，成為黑客攻擊的高價值目標。2024 年全球加密貨幣被盜金額達 23 億美元，而 Bybit 本次事件被盜金額超過去年行業(yè)被盜金額的 60%，凸顯了行業(yè)安全形勢的嚴峻性。此前，Ronin Network 等知名項目也曾遭受大規(guī)模盜竊事件，表明黑客攻擊技術不斷演進，中心化平臺面臨持續(xù)的安全挑戰(zhàn)。

前期預警與長期策劃: ?安全機構慢霧披露，惡意合約早在 2 月 19 日就已部署，表明此次攻擊并非臨時起意，而是經過長時間的精心策劃和周密準備。

事件原因分析

技術漏洞與社會工程學攻擊:

初步分析顯示，攻擊者可能利用了 Bybit 多簽冷錢包的簽名流程漏洞，通過 偽裝交易界面 和 替換 Safe 實現合約 的方式，誘騙多簽 Owner 簽署惡意交易。

攻擊者可能結合了 社會工程學 手段（參考去年10月份攻擊事件），例如入侵簽名者的電腦或中間通訊環(huán)節(jié)，將正常的交易請求替換為惡意交易，降低了簽名者的警惕性。

DELEGATECALL` 指令在惡意合約中被利用，可能允許惡意代碼在多簽錢包的上下文中執(zhí)行，從而修改合約邏輯并轉移資金。

中心化交易所的固有風險:

中心化交易所作為用戶資金的集中托管方，天然具備 “單點故障” 風險，容易成為黑客攻擊的目標。Bybit CEO Ben Zhou 早在 2020 年就曾公開承認 CEX 的這種固有脆弱性。

外部環(huán)境因素:

2025 年 2 月加密貨幣市場整體回暖，ETH 價格上漲，可能刺激了黑客的盜竊動機。

近期其他加密平臺 (如 ZkLend) 也遭受攻擊，反映出行業(yè)整體安全環(huán)境可能趨于惡化。

事件影響

對 Bybit 的直接影響:

巨額資金損失: 15?億美元資產被盜，占 Bybit ETH 存款的較大比例 (約 75%)，給交易所帶來直接經濟損失。

用戶信任危機與提幣潮: ?大規(guī)模盜竊事件可能引發(fā)用戶對 Bybit 平臺安全性的信任危機，導致用戶集中提款，對平臺流動性造成巨大壓力。

ETH 價格短期波動: 事件發(fā)生后，ETH 價格出現約 3% 的短期下跌，反映市場對事件的負面情緒。

聲譽受損: ?盡管 Bybit 積極應對并強調償付能力，但此次事件無疑對 Bybit 的聲譽造成一定負面影響。

對加密貨幣行業(yè)的影響:

加劇 CEX 信任危機: ?Bybit 事件進一步加劇了用戶對中心化交易所安全性的擔憂，可能促使部分用戶將資金轉移至去中心化交易所 (DEX) 或選擇更安全的資產托管方案。

監(jiān)管壓力可能增加: ?歷史上，大規(guī)模交易所安全事件往往引發(fā)監(jiān)管機構的關注和介入。Bybit 事件可能促使各國監(jiān)管機構加強對 CEX 的安全審計和合規(guī)監(jiān)管要求。

推動行業(yè)安全升級: ?此次事件或將成為加密安全領域的重要轉折點，促使交易所、安全機構和開發(fā)者社區(qū)共同推動技術安全和治理機制的全面升級，提升行業(yè)整體安全水平。

可能引發(fā)關于以太坊分叉的討論: ?Coinbase 主管 Conor Grogan 以及加密貨幣行業(yè)人物 Arthur Hayes 等公開討論了此次事件是否可能引發(fā)類似 DAO 事件后的以太坊分叉討論，盡管分叉的呼聲可能較為激進，但也反映了事件的嚴重性和行業(yè)內對極端情況的潛在考量。

行業(yè)各方反應

Bybit 官方: ?Bybit CEO Ben Zhou 在事件發(fā)生后快速公開事件細節(jié)，并通過社交媒體、直播等方式與用戶溝通，強調平臺償付能力和運營正常，試圖以透明度和積極溝通挽回用戶信任。Bybit 官方聲明已向有關部門報案，并與安全機構合作進行調查和資金追蹤。

審計安全機構: 慢霧 (SlowMist) 、Beosin等區(qū)塊鏈安全公司在事件發(fā)生后迅速介入，分析攻擊技術細節(jié)，協助 Bybit 追蹤被盜資金，并向行業(yè)發(fā)出安全預警。

中心化交易所 (CEX) 同行: Bitget、KuCoin、MEXC和Jucoin?等交易所公開表達對 Bybit 的支持，并提供資金和技術援助。BitMart 承諾凍結可疑地址，幣安創(chuàng)始人趙長鵬也表示如有需要幣安愿意提供幫助。行業(yè)頭部交易所的集體聲援和互助，顯示出應對行業(yè)安全風險的姿態(tài)。

社區(qū)與分析師: ?加密貨幣社區(qū)和行業(yè)分析師普遍對此事件表示關注和擔憂。部分用戶肯定 Bybit 的透明溝通，但更多用戶表達了對 CEX 安全性的普遍擔憂。分析師指出，此次事件可能促使 CEX 重新審視和改進多簽機制、智能合約安全審計、以及內部安全流程。

小結

Bybit 交易所遭受的 15?億美元盜竊事件，是加密貨幣行業(yè)歷史上最大規(guī)模的單次資金損失，再次敲響了中心化交易所安全風險的警鐘。黑客精心策劃的攻擊，利用技術漏洞和社會工程學手段，突破了交易所的多重安全防線，造成了巨大的經濟損失和信任危機。

盡管Bybit遭遇了突發(fā)安全事件，但其快速反應和相對公開透明的處理方式，有效緩解了市場焦慮。更令人鼓舞的是，來自同行的援助以及安全機構的積極支持，充分展現了加密貨幣社區(qū)守望相助的團結精神。這起事件在提醒我們行業(yè)風險的同時，也讓我們看到了加密領域日趨成熟和強大的韌性。

未來，加密貨幣行業(yè)或將因此事件迎來安全領域的全面升級。中心化交易所需要持續(xù)加強技術安全投入，提升多簽錢包、智能合約、內部風控等方面的安全防護水平。監(jiān)管機構也可能進一步加強對 CEX 的合規(guī)監(jiān)管，促進行業(yè)更加健康有序發(fā)展。對于用戶而言，此次事件再次提醒用戶，資產安全始終是參與加密貨幣市場的首要考量，合理分散風險，選擇更安全的資產托管方案變得愈發(fā)重要。

最新進展 (截至 2025年2月22日 09:55 HKT)

Bybit 與 Web3 審計機構 Hacken 合作發(fā)布儲備證明，力證平臺償付能力。

Bitget、MEXC 等交易所持續(xù)向 Bybit 提供 ETH 和 stETH 借款，緩解流動性壓力。

KuCoin 協助 Bybit 監(jiān)控資金流向和凍結可疑資產。

Safe 官方暫停 Wallet 功能進行全面安全檢查。

幣安創(chuàng)始人趙長鵬澄清幣安官方未向 Bybit 提供借款，相關資金轉移可能為巨鯨個人行為。

鏈上偵探 ZachXBT 確認 Lazarus Group 為此次攻擊事件的策劃者。

Bybit 黑客嘗試解質押 cmETH 被合約退回。
Bybit CEO表示所有提款都已處理完畢，將發(fā)布完整事件報告。