ByBit被盗15亿美元 朝鲜黑客组织犯下加密史上最大盗窃案

黑客年年有，今年也不例外。

众所周知，在加密世界的黑暗丛林中，盗与被盗，处在一种微妙的平衡中，黑客猖獗无孔不入，安全标准，也在这一次次的压力测试中被持续拉高，而公共责任这一在自负盈亏的加密领域少见的词汇，也一次次摆在了项目或者平台方的面前，考验着每个平台的“格局”与市场的“合力”。

就在开年不久，恶性事件再一次发生。2月21日晚，交易所Bybit遭受了一起价值14.6亿美元的黑客攻击，仅从金额论，本次事件已然是Crypto历史上最大的黑客攻击。

追溯黑客源头，神秘的朝鲜组织LazarusGroup再度浮出水面。

时间拉回到2月21日，一个平凡的周五夜晚，加密市场却发生了一件不平凡的事。先是23点27分，链上侦探Zachxbt监控频道称，监控到从Bybit流出的可疑资金，总额超过14.6亿美元。

随后，加密KOLFinish也发文印证，表示链上数据检测到Bybit一多签地址将价值15亿美元的ETH转出，并使用DEX将LSD资产兑换为原生ETH，其强调该地址通过4个不同的DEX兑换，会导致较大的滑点与交易损耗，而交易量如此之大，显然不太寻常。

23点44分，Bybit联合创始人兼CEOBenZhou发文确认了这一说法，表示黑客控制了特定ETH冷钱包，但其余冷钱包安全且提现正常。这一消息无疑明确了黑客作案，而高达15亿美元的被盗金额，让市场一时陷入恐慌。

得益于CEO的有效作为与行业的共同努力，在2月22日上午9点，BybitCEOBenZhou表示，99.994%的提款已完成，而Bybit交易所的各项服务，包括提现功能，均已恢复正常。在当日，SOSOVALUE等监测机构也表示Bybit资金完成了缺口覆盖，称Bybit交易平台在过去12小时内共计流入资金超过40亿美元。根据今日最新消息，BybitCEOBenZhou于发推表示Bybit已完全填补ETH缺口，新的审计POR（储备证明）报告将很快发布。Lookonchain也监测到Bybit通过多种渠道获得44.7万枚ETH。

资金挤兑解决，在黑客的围堵上，行业也正在努力。Bybit表示已立案对其进行追查，而通过多方协调努力，成功在一天内成功冻结4289万美元被盗资金。提供协助的机构包括Tether、THORChain、ChangeNOW、FixedFloat、AvalancheEcosystem、CoinEx、Bitget、Circle等。但不得不承认，尽管如此，在加密这一去中心化市场上，寄希望完全阻拦黑客的Tokens抛售，仍非常困难。截止到今日早上9点，Bybit黑客已将5.07万枚ETH（1.42亿美元）换成DAI及其它链上的资产，目前还持有44.86万枚ETH（12.6亿美元），若拉长时间线，这笔资金早晚会被抛售殆尽。

究竟是何黑客可绕过多签+冷钱包这一在业界最高的安全标准，成功在众目睽睽下拿走15亿美元？

很快，关于攻击事件的细节也被进一步披露。Bybit官方推特表示，Bybit检测到涉及其中一个ETH冷钱包的未经授权活动。事件发生时，ETH多重签名冷钱包执行了热钱包的转账。不幸的是，这笔交易是通过一个复杂的攻击操纵的，该攻击掩盖了签名界面，显示正确的地址，同时更改了底层智能合约逻辑。因此，攻击者能够控制受影响的ETH冷钱包并将其资产转移到一个未识别的地址。

攻击手法实际上并不复杂，简而言之，所有的交易所都存在冷钱包与热钱包，冷钱包用于安全储存资产，而热钱包则用于日常交易需求，两者之间也会发生金额的流转，本次黑客正是盯紧了这一过程。在Bybit按照惯例将资金从冷钱包转入热钱包时，黑客伪装了一个假的交易界面和链接，实现了浑水摸鱼。由于冷钱包通常是多签机制，黑客在此其中也使用了社工技巧，通过黑入发起交易的人/设备，让后续审核人员降低警惕，审核人员在看到发起人的转账申请后，多会直接点击同意，而在同意后，钱包的权限就拱手送给了黑客。换而言之，黑客并未攻击Safe多签协议本身，而是针对人性的弱点设计了方案。

Safe前端侵入+社工的手法，让市场很快就联想到了恶名昭著的始作俑者——朝鲜黑客LazarusGroup。在此前的的历史案件中，RadiantCapital、WazirX都是用类似的手法被盗，从员工多签侵入替换签名内容，把Safe合约升级替换为部署的恶意合约，操作成功后迅速将资金转入混币器提出，随后消声觅迹。

这一怀疑得到了证实，事件发生4小时后，链上侦探ZachXBT提交了确凿证据，证实此次针对Bybit的攻击由朝鲜黑客组织LazarusGroup实施。

从贬义意味而言，Lazarus无疑是业内让人闻风丧胆的存在。来自现代化程度不高的朝鲜，Lazarus却是世界上顶尖的黑客组织，颇有些割裂与荒诞。LazarusGroup的首战就是2009年的特洛伊行动，黑客们利用DDOS这一常见攻击完成了韩国政府的攻破，成功在36个网站主引导记录（MBR）中植入独立日纪念的文字。

而后，索尼影视、纽约联邦储备银行相继被攻击，WannaCry勒索软件攻击更是影响了150 个国家的近20 万台计算机，使其一战成名。2017年开始，这一黑客组织开始将目标转向匿名程度更高的加密领域。Bithumb、Nicehash都曾惨遭毒手，从近年来看，Ronin被盗取的6.2亿美元、HorizonBridge的1亿美元，背后都有该组织的身影。Blockchain安全平台Immunefi发布的一份报告称，LazarusGroup在2023年的Crypto黑客攻击事件中，造成的损失超过3亿美元，占当年总损失的17.6%。2024年，WazirX也遭到攻击，损失了2.349亿美元的加密资产。

攻击频频得手，且数额巨大，即便美国司法部追溯也无果，这一组织，在互联网世界的无主之地中制造混乱，持续不断的为其祖国朝鲜实现外汇创收。或许也有人疑问，朝鲜是如何培养出如此厉害的黑客高手？

实际上，这也是朝鲜的不得已之举。在长期的制裁中，相比于长枪大炮等实际投入巨大的国防安全事务，在数字化世界培养黑客，已然是朝鲜最具性价比的方案。从上世纪80年代开始，韩国就开始以“SecretWar”为代号进行黑客培养，以自动化大学为核心基地招收学生，据传申请淘汰率高度80%，而即便进入学习，也要接受长达9年的严格训练，并从小就开始赋予使命，按照攻击地域编入不同的组别，甚至会化身卧底融入当地文化以完成任务目标。

当然，丰厚的收益不会少，黑客月薪可高达2000美元一月，并配备首都市中心超过185平米的豪华公寓，尽管看似对黑客而言价值不多，但在人均年收入不足1000美元的朝鲜，他们，可以被认为是金字塔尖的人物。

善与恶，在成年人的世界中，很难评价，对于遭受无妄之灾的用户们，Lazarus可以被认为是纯粹的恶，但对于朝鲜而言，黑客们的每次行动都代表着国家的创收与贡献，对普通民众而言，或许是大大的善。

在善恶的交织中，加密领域所能做的，也只能是不断地提高安全标准，制定更为完善的安全机制与危机解决方案，去面对来势汹汹的攻击，保全黑暗森林中脆弱的资产。

值得一提的是，本次Bybit事件，无疑是加密历史上一次伟大的救援。无论理由为何，加密世界所展现出来行业同舟共济的信心与勇气，仍然让市场触动，成为了垃圾时间中少见的人性曙光，或许大家都知道，如今的市场，再也经不起如此大规模的又一次黑客攻击。颇为有趣的是，面对如此高额的攻击，最爱长臂管辖的美国监管机构似乎都保持着沉默，监管新纪元名不虚传。

但无论如何，提高安全性是所有用户需要高度关注的优先事项，这次是资本雄厚的Bybit，所以全员声援，被盗的金额虽大，但也只是Bybit一年的盈利，然而，币圈永远不止Bybit，没有一丝涟漪、求助无门、动辄倾家荡产的散户被盗才是行业的常态。对于普通用户而言，如何取得安全与效率的平衡，将是永恒的议题。