史上最大盗窃案： Bybit 黑客资金流向追踪

文章来源：Elliptic；编译：金色财经xiaozou

2025年2月21日，总部位于迪拜的Crypto交易所Bybit遭遇了约14.6亿美元的加密资产被盗事件。初步报告显示，攻击者使用了恶意软件诱骗交易所批准了将资金转移至窃贼账户的交易。

这是迄今为止规模最大的Crypto盗窃案，远超2021年PolyNetwork被盗的6.11亿美元（且该案中大部分资金最终被黑客归还）。事实上，这几乎可以确定是有史以来最大规模的单一盗窃案，此前该纪录的保持者还是萨达姆·侯赛因，他在2003年伊拉克战争前夕从伊拉克中央银行盗取了10亿美元。

Lazarus集团的*洗*钱过程通常遵循一个典型模式。第一步是将所有被盗的Tokens兑换为“原生”Blockchain资产，如ETH。这是因为Tokens有发行方，在某些情况下可以“冻结”包含被盗资产的钱包，而ETH或Bitcoin则没有中央机构可以冻结。

这正是Bybit盗窃案发生后的几分钟内发生的情况，数亿美元的被盗Tokens（如stETH和cmETH）被兑换为ETH。攻击者使用DEX（DEXs）完成这一操作，可能是为了避免在使用CEX*洗*钱时可能遇到的资产冻结情况。

*洗*钱过程的第二步是对被盗资金进行“分层”，以试图掩盖交易路径。Blockchain的透明性意味着这些交易路径可以被追踪，但这些分层策略会使追踪过程复杂化，为*洗*钱者争取宝贵的变现时间。分层过程可以采取多种形式，包括：

通过大量Crypto钱包转移资金

使用跨链桥或交易所将资金转移到其他Blockchain

使用DEXs、Tokens交换服务或交易所在不同加密资产之间切换

使用“混币器”，如TornadoCash或Cryptomixer

Lazarus集团目前正处于*洗*钱的第二阶段。盗窃发生后的两小时内，被盗资金被发送到50个不同的钱包，每个钱包持有约10,000ETH。这些钱包正在被系统性地清空——截至UTC时间2月23日晚上10点，10%的被盗资产（现价值1.4亿美元）已从这些钱包中转移。

一旦资金从这些钱包中转移，它们将通过各种服务进行*洗*钱，包括DEXs、跨链桥和CEX。然而，一个名为eXch的Crypto交易所已成为此次*洗*钱的主要的自愿协助者。eXch以其允许用户匿名交换加密资产而闻名，这使其被用于交换来自犯罪活动的数亿美元加密资产，包括朝鲜实施的多次盗窃。自黑客攻击以来，价值数千万美元的Bybit被盗加密资产已通过eXch进行交换。尽管Bybit直接提出请求，但eXch仍拒绝阻止这一活动。

被盗的ETH正在通过eXch和其他服务逐步转换为Bitcoin。如果遵循以往的*洗*钱模式，我们可能会看到接下来使用混币器进一步混淆交易路径。然而，由于被盗资金规模巨大，这可能具有一定挑战性。

朝鲜的Lazarus集团是现有最“专业”且资源最丰富的加密资产*洗*钱者，他们不断调整技术以逃避被盗资产被识别和扣押。自Bybit盗窃案发生后的几分钟起，Elliptic团队就与Bybit、客户及其他调查人员全天候合作，追踪这些资金并阻止朝鲜政权从中获益。