ByBit被盜15億美元 朝鮮黑客犯下加密史上最大盜竊案

黑客年年有，今年也不例外。

眾所周知，在加密世界的黑暗叢林中，盜與被盜，處在一種微妙的平衡中，黑客猖獗無(wú)孔不入，安全標(biāo)準(zhǔn)，也在這一次次的壓力測(cè)試中被持續(xù)拉高，而公共責(zé)任這一在自負(fù)盈虧的加密領(lǐng)域少見(jiàn)的詞匯，也一次次擺在了項(xiàng)目或者平臺(tái)方的面前，考驗(yàn)著每個(gè)平臺(tái)的“格局”與市場(chǎng)的“合力”。

就在開(kāi)年不久，惡性事件再一次發(fā)生。2月21日晚，交易所Bybit遭受了一起價(jià)值14.6億美元的黑客攻擊，僅從金額論，本次事件已然是加密貨幣歷史上最大的黑客攻擊。

追溯黑客源頭，神秘的朝鮮組織Lazarus Group再度浮出水面。

時(shí)間拉回到2月21日，一個(gè)平凡的周五夜晚，加密市場(chǎng)卻發(fā)生了一件不平凡的事。先是23點(diǎn)27分，鏈上偵探Zachxbt 監(jiān)控頻道稱，監(jiān)控到從Bybit流出的可疑資金，總額超過(guò)14.6 億美元。

隨后，加密KOLFinish也發(fā)文印證，表示鏈上數(shù)據(jù)檢測(cè)到Bybit一多簽地址將價(jià)值15億美元的ETH轉(zhuǎn)出，并使用 DEX 將 LSD 資產(chǎn)兌換為原生ETH，其強(qiáng)調(diào)該地址通過(guò)4個(gè)不同的DEX兌換，會(huì)導(dǎo)致較大的滑點(diǎn)與交易損耗，而交易量如此之大，顯然不太尋常。

23點(diǎn)44分，Bybit 聯(lián)合創(chuàng)始人兼CEO Ben Zhou發(fā)文確認(rèn)了這一說(shuō)法，表示黑客控制了特定ETH冷錢包，但其余冷錢包安全且提現(xiàn)正常。這一消息無(wú)疑明確了黑客作案，而高達(dá)15億美元的被盜金額，讓市場(chǎng)一時(shí)陷入恐慌。

據(jù)CoinMarketCap數(shù)據(jù)統(tǒng)計(jì)，Bybit在遭黑客攻擊前擁有 162 億美元儲(chǔ)備資產(chǎn)，被盜115億美元資產(chǎn)占比約8.64%，僅從金額來(lái)看，這已然成為加密歷史上最大規(guī)模的黑客盜竊，超過(guò)了2021 年 Poly Network 遭受的 6.11 億美元盜竊，即便并非加密領(lǐng)域，15億美元的欺詐金額在傳統(tǒng)領(lǐng)域也已然讓人咂舌。而在本次事件后，Bybit黑客ETH持有量超過(guò)富達(dá)、Vitalik，持有約 0.42% 的以太坊代幣總供應(yīng)量，成為全球第14大持有者。

黑客的操作似乎也駕輕就熟，就在資金被盜后不久，黑客就將49萬(wàn)枚ETH平均分散轉(zhuǎn)移到了49個(gè)地址中，并在后續(xù)利用混幣器開(kāi)始洗錢。

在此背景下，盡管Bybit及時(shí)發(fā)聲，表示償付能力足夠，也迅速開(kāi)啟了直播答疑提出用過(guò)橋貸款予以解決，但該起事件后，直接關(guān)聯(lián)的ETH價(jià)格在當(dāng)天一度下跌6.7%，比特幣也從當(dāng)天的高點(diǎn)下跌了近3%。

從此刻開(kāi)始，Bybit與黑客就進(jìn)入了生死時(shí)速的拉鋸戰(zhàn)。一方面，Bybit需要盡快的解決可能面臨的資產(chǎn)虧空，直面用戶的恐慌性提幣甚至可能引發(fā)的擠兌需求，另一方面，交易所也有義務(wù)用盡全面手段阻止黑客的資金變現(xiàn)。

值得一提的是，在事件發(fā)生后，同氣連枝的各大交易所也迅速的上演了火星救援。一線交易所幣安與OKX、HTX、HashKey迅速發(fā)起聲援，CZ也適時(shí)給出解決方法。但令人的驚訝的是，二線交易所們抱團(tuán)取暖，直接來(lái)了一波雪中送炭。Bitget展現(xiàn)出了驚人的大格局，在最短時(shí)間內(nèi)向Bybit支援了4萬(wàn)枚ETH，當(dāng)然，如此龐大的金額難免意味著背后利益共同體的可能，但真金白銀的支持還是體現(xiàn)出行業(yè)內(nèi)難得一見(jiàn)的溫情。

MEXC熱錢包也向Bybit冷錢包轉(zhuǎn)款12652 枚 stETH。而幣安雖未動(dòng)，鯨魚先行，巨鯨用戶也提供了約為6.7萬(wàn)枚的ETH，ABCDE聯(lián)創(chuàng) Du Jun 也在社交媒體上發(fā)文表示，其個(gè)人將轉(zhuǎn)移1萬(wàn)枚 ETH 至 Bybit，且1個(gè)月內(nèi)不會(huì)提幣。據(jù)余燼監(jiān)測(cè)，已有5家機(jī)構(gòu)及個(gè)人向 Bybit 提供借款支援，總計(jì)約 12 萬(wàn)枚 ETH，價(jià)值約 3.21 億美元。

得益于CEO的有效作為與行業(yè)的共同努力，在2月22日上午9點(diǎn)，Bybit CEO Ben Zhou表示，99.994%的提款已完成，而B(niǎo)ybit交易所的各項(xiàng)服務(wù)，包括提現(xiàn)功能，均已恢復(fù)正常。在當(dāng)日，SOSOVALUE等監(jiān)測(cè)機(jī)構(gòu)也表示Bybit資金完成了缺口覆蓋，稱Bybit 交易平臺(tái)在過(guò)去12小時(shí)內(nèi)共計(jì)流入資金超過(guò)40億美元。根據(jù)今日最新消息，Bybit CEO Ben Zhou于發(fā)推表示Bybit已完全填補(bǔ)ETH缺口，新的審計(jì) POR（儲(chǔ)備證明）報(bào)告將很快發(fā)布。Lookonchain也監(jiān)測(cè)到Bybit通過(guò)多種渠道獲得44.7萬(wàn)枚 ETH。

資金擠兌解決，在黑客的圍堵上，行業(yè)也正在努力。Bybit表示已立案對(duì)其進(jìn)行追查，而通過(guò)多方協(xié)調(diào)努力，成功在一天內(nèi)成功凍結(jié)4289萬(wàn)美元被盜資金。提供協(xié)助的機(jī)構(gòu)包括 Tether、THORChain、ChangeNOW、FixedFloat、Avalanche Ecosystem、CoinEx、Bitget、Circle 等。但不得不承認(rèn)，盡管如此，在加密這一去中心化市場(chǎng)上，寄希望完全阻攔黑客的代幣拋售，仍非常困難。截止到今日早上9點(diǎn)，Bybit 黑客已將5.07萬(wàn)枚 ETH（1.42億美元）換成DAI及其它鏈上的資產(chǎn)，目前還持有44.86萬(wàn)枚 ETH（12.6億美元），若拉長(zhǎng)時(shí)間線，這筆資金早晚會(huì)被拋售殆盡。

究竟是何黑客可繞過(guò)多簽+冷錢包這一在業(yè)界最高的安全標(biāo)準(zhǔn)，成功在眾目睽睽下拿走15億美元？

很快，關(guān)于攻擊事件的細(xì)節(jié)也被進(jìn)一步披露。Bybit官方推特表示，Bybit檢測(cè)到涉及其中一個(gè) ETH 冷錢包的未經(jīng)授權(quán)活動(dòng)。事件發(fā)生時(shí)，ETH多重簽名冷錢包執(zhí)行了熱錢包的轉(zhuǎn)賬。不幸的是，這筆交易是通過(guò)一個(gè)復(fù)雜的攻擊操縱的，該攻擊掩蓋了簽名界面，顯示正確的地址，同時(shí)更改了底層智能合約邏輯。因此，攻擊者能夠控制受影響的 ETH 冷錢包并將其資產(chǎn)轉(zhuǎn)移到一個(gè)未識(shí)別的地址。

攻擊手法實(shí)際上并不復(fù)雜，簡(jiǎn)而言之，所有的交易所都存在冷錢包與熱錢包，冷錢包用于安全儲(chǔ)存資產(chǎn)，而熱錢包則用于日常交易需求，兩者之間也會(huì)發(fā)生金額的流轉(zhuǎn)，本次黑客正是盯緊了這一過(guò)程。在Bybit按照慣例將資金從冷錢包轉(zhuǎn)入熱錢包時(shí)，黑客偽裝了一個(gè)假的交易界面和鏈接，實(shí)現(xiàn)了渾水摸魚。由于冷錢包通常是多簽機(jī)制，黑客在此其中也使用了社工技巧，通過(guò)黑入發(fā)起交易的人/設(shè)備，讓后續(xù)審核人員降低警惕，審核人員在看到發(fā)起人的轉(zhuǎn)賬申請(qǐng)后，多會(huì)直接點(diǎn)擊同意，而在同意后，錢包的權(quán)限就拱手送給了黑客。換而言之，黑客并未攻擊Safe多簽協(xié)議本身，而是針對(duì)人性的弱點(diǎn)設(shè)計(jì)了方案。

Safe前端侵入+社工的手法，讓市場(chǎng)很快就聯(lián)想到了惡名昭著的始作俑者——朝鮮黑客Lazarus Group。在此前的的歷史案件中，Radiant Capital、WazirX都是用類似的手法被盜，從員工多簽侵入替換簽名內(nèi)容，把Safe合約升級(jí)替換為部署的惡意合約，操作成功后迅速將資金轉(zhuǎn)入混幣器提出，隨后消聲覓跡。

這一懷疑得到了證實(shí)，事件發(fā)生4小時(shí)后，鏈上偵探 ZachXBT提交了確鑿證據(jù)，證實(shí)此次針對(duì) Bybit 的攻擊由朝鮮黑客組織Lazarus Group實(shí)施。

從貶義意味而言，Lazarus無(wú)疑是業(yè)內(nèi)讓人聞風(fēng)喪膽的存在。來(lái)自現(xiàn)代化程度不高的朝鮮，Lazarus卻是世界上頂尖的黑客組織，頗有些割裂與荒誕。Lazarus Group的首戰(zhàn)就是2009年的特洛伊行動(dòng)，黑客們利用DDOS這一常見(jiàn)攻擊完成了韓國(guó)政府的攻破，成功在36個(gè)網(wǎng)站主引導(dǎo)記錄（MBR）中植入獨(dú)立日紀(jì)念的文字。

而后，索尼影視、紐約聯(lián)邦儲(chǔ)備銀行相繼被攻擊，WannaCry 勒索軟件攻擊更是影響了 150?個(gè)國(guó)家的近 20?萬(wàn)臺(tái)計(jì)算機(jī)，使其一戰(zhàn)成名。2017年開(kāi)始，這一黑客組織開(kāi)始將目標(biāo)轉(zhuǎn)向匿名程度更高的加密領(lǐng)域。Bithumb 、Nicehash都曾慘遭毒手，從近年來(lái)看，Ronin 被盜取的6.2億美元、 Horizon Bridge的1億美元，背后都有該組織的身影。區(qū)塊鏈安全平臺(tái) Immunefi 發(fā)布的一份報(bào)告稱，Lazarus Group在 2023 年的加密貨幣黑客攻擊事件中，造成的損失超過(guò) 3 億美元，占當(dāng)年總損失的 17.6%。2024年，WazirX也遭到攻擊，損失了2.349 億美元的加密資產(chǎn)。

攻擊頻頻得手，且數(shù)額巨大，即便美國(guó)司法部追溯也無(wú)果，這一組織，在互聯(lián)網(wǎng)世界的無(wú)主之地中制造混亂，持續(xù)不斷的為其祖國(guó)朝鮮實(shí)現(xiàn)外匯創(chuàng)收。或許也有人疑問(wèn)，朝鮮是如何培養(yǎng)出如此厲害的黑客高手？

實(shí)際上，這也是朝鮮的不得已之舉。在長(zhǎng)期的制裁中，相比于長(zhǎng)槍大炮等實(shí)際投入巨大的國(guó)防安全事務(wù)，在數(shù)字化世界培養(yǎng)黑客，已然是朝鮮最具性價(jià)比的方案。從上世紀(jì)80年代開(kāi)始，韓國(guó)就開(kāi)始以“Secret War”為代號(hào)進(jìn)行黑客培養(yǎng)，以自動(dòng)化大學(xué)為核心基地招收學(xué)生，據(jù)傳申請(qǐng)?zhí)蕴矢叨?0%，而即便進(jìn)入學(xué)習(xí)，也要接受長(zhǎng)達(dá)9年的嚴(yán)格訓(xùn)練，并從小就開(kāi)始賦予使命，按照攻擊地域編入不同的組別，甚至?xí)砼P底融入當(dāng)?shù)匚幕酝瓿扇蝿?wù)目標(biāo)。

當(dāng)然，豐厚的收益不會(huì)少，黑客月薪可高達(dá)2000美元一月，并配備首都市中心超過(guò)185平米的豪華公寓，盡管看似對(duì)黑客而言價(jià)值不多，但在人均年收入不足1000美元的朝鮮，他們，可以被認(rèn)為是金字塔尖的人物。

善與惡，在成年人的世界中，很難評(píng)價(jià)，對(duì)于遭受無(wú)妄之災(zāi)的用戶們，Lazarus可以被認(rèn)為是純粹的惡，但對(duì)于朝鮮而言，黑客們的每次行動(dòng)都代表著國(guó)家的創(chuàng)收與貢獻(xiàn)，對(duì)普通民眾而言，或許是大大的善。

在善惡的交織中，加密領(lǐng)域所能做的，也只能是不斷地提高安全標(biāo)準(zhǔn)，制定更為完善的安全機(jī)制與危機(jī)解決方案，去面對(duì)來(lái)勢(shì)洶洶的攻擊，保全黑暗森林中脆弱的資產(chǎn)。

值得一提的是，本次Bybit事件，無(wú)疑是加密歷史上一次偉大的救援。無(wú)論理由為何，加密世界所展現(xiàn)出來(lái)行業(yè)同舟共濟(jì)的信心與勇氣，仍然讓市場(chǎng)觸動(dòng)，成為了垃圾時(shí)間中少見(jiàn)的人性曙光，或許大家都知道，如今的市場(chǎng)，再也經(jīng)不起如此大規(guī)模的又一次黑客攻擊。頗為有趣的是，面對(duì)如此高額的攻擊，最愛(ài)長(zhǎng)臂管轄的美國(guó)監(jiān)管機(jī)構(gòu)似乎都保持著沉默，監(jiān)管新紀(jì)元名不虛傳。

但無(wú)論如何，提高安全性是所有用戶需要高度關(guān)注的優(yōu)先事項(xiàng)，這次是資本雄厚的Bybit，所以全員聲援，被盜的金額雖大，但也只是Bybit一年的盈利，然而，幣圈永遠(yuǎn)不止Bybit，沒(méi)有一絲漣漪、求助無(wú)門、動(dòng)輒傾家蕩產(chǎn)的散戶被盜才是行業(yè)的常態(tài)。對(duì)于普通用戶而言，如何取得安全與效率的平衡，將是永恒的議題。