拉撒路集团15亿美元Bybit黑客事件震撼加密货币界（ETH）——彭博社

bloomberg

2025-02-28

摄影师：雅各布·波尔兹基/NurPhoto/Getty Images

上周五有关加密货币交易所Bybit遭遇大规模黑客攻击的消息开始扩散时，网络安全研究人员迅速得出结论：巨额数字资产盗窃的时代已进入一个可能造成毁灭性后果的新阶段。

这不仅涉及攻击规模（尽管近15亿美元的损失已远超历史记录），更在于其性质——美国联邦调查局将此次攻击归咎于朝鲜黑客组织Lazarus，其野心和防御难度远超以往任何一次攻击。

最令人不安的是，黑客成功清空了所谓的"冷"加密货币存储钱包（这种硬件设备用于保存访问资金所需的私钥）。这类钱包通常与网络隔离，此前被认为几乎不可能被攻破。

根据对十多位行业高管和安全专家的采访，此次事件对行业及其新兴监管体系影响深远。他们表示，要防范朝鲜的盗窃行为，可能需要加密货币交易所大幅增加安全支出、实施更严格的监管措施，并加强政府间协作。

“这次攻击打破了冷钱包坚不可摧的神话，”区块链情报公司TRM Labs的高级主管安吉拉·安表示，“交易所必须重新审视安全策略并加强防御。”

消息来源：Bybit和Safe的初步事件报告

作为最大的加密货币交易所之一，Bybit被迫向其他平台借款并动用自有资金填补被盗的约51.5万枚代币（主要是以太坊及其衍生币）。据DefiLlama数据显示，尽管交易所努力稳定局面，攻击发生后两天内仍有约40亿美元资金被客户提现。

“Bybit已成功将77%的管理资产规模（AUM）恢复至事件前水平，”该公司周四表示。

西方政府指控朝鲜扶植多个黑客组织，这个经济孤立的国家据称通过网络犯罪获取资金以支持武器计划。根据美国官员的说法，臭名昭著的拉撒路集团（Lazarus Group）最早可追溯至2007年，由朝鲜主要情报机构侦察总局下属网络作战部门控制。

根据研究机构Chainalysis的数据，去年与朝鲜有关的黑客实施的加密货币盗窃案金额翻了一倍多，达到13.4亿美元，约占总数的60%。而Bybit遭黑客攻击事件意味着，2025年归因于该政权的此类攻击金额已经超过了这一数字。

“这次攻击表明，即使是像Bybit这样认真且勤奋的团队，也面临着极其严苛的环境；这些掠夺者实际上就是国家行为者，而非比喻意义上的，”加密货币安全公司Immunefi的首席执行官米切尔·阿马多尔在一封电子邮件中表示。“他们拥有无限的时间、耐心和资源，而且他们只需要成功一次。”

来源：Elliptic

注：价值按被盗时的价格计算。

Bybit的首席运营官刘海伦刚刚在迪拜（该交易所的总部所在地）与父母坐下来吃晚餐时，首席执行官周本打电话告诉她黑客攻击的消息。她立即赶往办公室，通宵工作，一度同时处理三个不同的电话。

“回家后我睡了一会儿，”她在一次采访中说。“但我们的首席执行官、钱包工程师、追踪资金的团队，他们两三天都没睡觉。”

从Bybit被盗的代币存储在一个多重签名的冷钱包中，这意味着包括周本在内的三个授权人员需要共同签署才能移动任何资金。研究人员表示，多重签名的冷钱包长期以来被认为是安全的，并且在加密货币交易所中广泛使用。

尽管关于攻击具体如何展开的叙述略有不同，但黑客似乎最初是通过针对Safe Wallet一名员工的电脑开始的，Safe Wallet是Bybit的加密货币钱包提供商。该公司未回应置评请求。

“黑客所做的是某种形式的伏击，“托管解决方案提供商Fireblocks的安全与信任副总裁Shahar Madar表示，“这是利用了现有的流程。”

Radix区块链的创始人Dan Hughes认为，在一定程度上，多重签名钱包表面上的安全性可能给签名者带来了一种虚假的安全感。

这次攻击还突显了另一个令人不安的事实：尽管加密货币声称创建了一个透明的生态系统，区块链通过自动化软件合约进行交互，但在关键时刻，它仍然依赖于人类的判断。而人类是可能被欺骗的。

联邦调查局在9月的一份公告中表示，朝鲜黑客特别擅长通过对该行业进行所谓的社会工程攻击来利用这一漏洞。在Bybit的盗窃案中，签名者被恶意代码插入的虚假信息所蒙蔽，使他们相信自己正在批准一笔合法的交易。

“我真的想不出交易所将如何正确防御这种情况，并确保所使用的工具链和多重签名上的人员不会在社会或物理上受到威胁，“Hughes说。

此次黑客攻击事件将焦点对准了一个可能关乎行业存亡的问题——今年1月唐纳德·特朗普重返白宫并让加密货币倡导者担任要职时，该行业曾取得重大胜利。美国证券交易委员会在前主席加里·根斯勒领导下进行了长达数年的打击行动，但过去几周已终止了对多家加密货币公司的调查。

在多年主要针对安全门槛较低的分布式加密项目后，朝鲜黑客于2024年开始加强对中心化交易所的攻击，先后袭击了日本的DMM比特币和印度的WazirX。曾为印度最大加密货币交易所的WazirX在遭黑客攻击后申请了重组。

中心化交易所是加密货币生态系统的核心，通常每日处理数千亿美元的总交易量。像Bybit遭遇的这种重大黑客攻击，其影响远不止波及交易所及其客户。消息传出后，以太坊、比特币等加密货币应声下跌，最大上市交易所Coinbase Inc.的股价也随之下挫。

TRM实验室的Ang表示，面对日益精进的国家级黑客，加密货币交易所必须加大安全投入，并与政府更紧密合作以追踪和追回资金，避免犯罪分子将其转移至无法触及之处。她指出监管机构可能会重新审视交易所处理客户资产的规则。

黑客入侵后的操作速度和专业程度加剧了不安情绪。在交易获批后数秒内，资产就从Bybit钱包被抽走，随后通过分布式交易所和所谓的跨链桥进行洗钱，将其转换为其他加密货币。

在窃取价值15亿美元的以太坊代币后，Lazarus组织将资金分散至数百个钱包

来源：Arkham Intelligence

Bybit表示已追回约4300万美元被盗加密货币，占总量的3%。该平台已启动赏金猎人网站，对成功追踪并冻结被盗代币的人员提供奖励。周三的声明中，FBI公布了与黑客相关的区块链地址列表，并呼吁加密领域各方封锁相关交易。

“这次洗钱操作的规模和速度表明，加密安全措施远远跟不上攻击者的步伐，“Ang表示，“这次攻击是对行业的压力测试，结果勉强及格。”