解析Bybit近15億美元被盜背後的駭客手法與疑問

駭客組織，尤其是Lazarus Group等國家級駭客，正持續陞級攻擊手段。

作者：慢霧安全團隊

背景

北京时間2025年2月21日晚，據鏈上偵探ZachXBT披露，Bybit平臺發生大規模資金流出的情况。 此次事件導致超14.6億美元被盜，成為近年來損失金額最大的加密貨幣盜竊事件。

鏈上追跡分析

事件發生後，慢霧安全團隊立即發佈安全提醒，並對被盜資產展開追跡分析：

根據慢霧安全團隊的分析，被盜資產主要包括：

&middot； 401347 ETH（價值約10.68億美元）

&middot； 8000 mETH（價值約2600萬美元）

&middot； 90375.5479 stETH（價值約2.6億美元）

&middot； 15000 cmETH（價值約4300萬美元）

我們使用鏈上追跡與反洗錢工具MistTrack對初始駭客地址

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

進行分析，得到以下資訊：

ETH被分散轉移，初始駭客地址將400000 ETH以每1000 ETH的格式分散到40個地址，正在繼續轉移。

其中，205 ETH通過Chainflip換為BTC跨鏈到地址：

bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

cmETH流向：15000 cmETH被轉移至地址：

0x1542368a03ad1f03d96D51B414f4738961Cf4443

值得注意的是，mETH Protocol在X上發文表示，針對Bybit安全事件，團隊及時暫停了cmETH提款，封锁了未經授權的提現行為，mETH Protocol成功從駭客地址回收了15000 cmETH。

mETH和stETH轉移：8000 mETH和90375.5479 stETH被轉移到地址：

0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e

接著通過Uniswap和ParaSwap兌換為98048 ETH後，又轉移到：

0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92

地址0xdd9以每1000 ETH的格式將ETH分散至9個地址，暫未轉出。

此外，對攻擊手法分析小節推出的駭客發起初始攻擊的地址：

0x0fa09C3A328792253f8dee7116848723b72a6d2e

進行溯源，發現該地址的初始資金來自Binance。

現時初始駭客地址：

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

餘額1346 ETH，我們將持續監控相關地址。

事件發生後，慢霧第一時間通過攻擊者獲取Safe多簽的手法以及洗幣手法推測攻擊者為朝鮮駭客：

可能利用的社會工程學攻擊手段：

使用MistTrack分析，還發現了該事件的駭客地址與BingX Hacker、Phemex Hacker地址關聯的情况：

ZachXBT也實錘了本次攻擊與朝鮮駭客組織Lazarus Group有關，該組織一直以實施跨國網絡攻擊和盜竊加密貨幣為主要活動之一。 據瞭解，ZachXBT提供的證據，包括測試交易、關聯錢包、取證圖表及時間分析等，都顯示了攻擊者在多次操作中使用了Lazarus Group常見的科技手段。 同時，Arkham表示，所有相關資料已經分享給Bybit，幫助平臺進一步展開調查。

攻擊手法分析

在事件發生後當晚23:44，Bybit CEO Ben Zhou在X上發佈聲明，詳細解釋了此次攻擊的科技細節：

通過鏈上簽名分析，我們發現了一些痕迹：

1.攻擊者部署惡意合約： UTC 2025-02-19 07: 15:23，部署惡意實現合約：

0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516

2.篡改Safe合約邏輯： UTC 2025-02-21 14: 13:35，通過三個Owner簽署交易，替換Safe合約為惡意版本：

0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

由此推出對駭客發起初始攻擊的地址：

0x0fa09C3A328792253f8dee7116848723b72a6d2e。

3.嵌入惡意邏輯：通過DELEGATECALL將惡意邏輯合約寫入STORAGE 0存儲：

0x96221423681A6d52E184D440a8eFCEbB105C7242

4.調用後門函數轉移資金：攻擊者使用合約中的sweepETH和sweepERC20函數，將冷錢包中的40萬枚ETH和stETH（總價值約15億美元）全部轉移至未知地址。

從攻擊手法上看，WazirX被黑事件和Radiant Capital被黑事件與本次攻擊都有相似之處，這三個事件的攻擊目標都是Safe多簽錢包。 對於WazirX被黑事件，攻擊者同樣提前部署了惡意的實現合約，並通過三個Owner簽署交易，通過DELEGATECALL將惡意邏輯合約寫入STORAGE 0存儲，以替換Safe合約為惡意實現合約。

（ https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d ）

對於Radiant Capital被黑事件，根據官方披露，攻擊者利用了一種複雜的方法，使得簽名驗證者在前端看到了看似合法的交易，這與Ben Zhou推文所披露的資訊相似。

（ https://medium.com/ @RadiantCapital/radiant-post-mortem-fecd6cd38081）

並且這三次事件所涉及的惡意合約的許可權檢查管道都是相同的，都是在合約中硬編碼了owner地址以對合約調用者進行檢查。 其中Bybit被黑事件與WazirX被黑事件許可權檢查拋出的錯誤資訊也相似。

在本次事件中，Safe合約沒問題，問題在非合約部分，前端被篡改偽造達到欺騙效果。 這個不是個案。 朝鮮駭客去年就以此管道攻擊了好幾個平臺，如：WazirX損失$230M，為Safe多簽； Radiant Capital損失$50M，為Safe多簽； DMM Bitcoin損失$305M，為Gonco多簽。 這種攻擊手法工程化成熟，需要多加注意。

根據Bybit官方發佈的公告：

（ https://announcements.bybit.com/zh-MY/article/incident-update—eth-cold-wallet-incident-blt292c0454d26e9140 ）

再結合Ben Zhou的推文：

產生以下疑問點：

1.例行ETH轉帳

攻擊者可能事先獲取了Bybit內部財務團隊的操作資訊，掌握了ETH多簽冷錢包轉帳的時間點？

通過Safe系統，誘導簽名者在偽造介面上簽署惡意交易？ Safe的前端系統是不是被攻破並被接管了？

2. Safe合約UI被篡改

簽名者在Safe介面上看到的是正確的地址和URL，但實際簽名的交易數據已被篡改？

關鍵問題在於：是誰最先發起簽名請求？ 其設備安全性如何？

我們帶著這些疑問，期待官方能儘快披露更多調查結果。

市場影響

Bybit在事件發生後迅速發佈公告，承諾所有客戶資產均有1:1備付，平臺可以承擔此次損失。 用戶提現不受影響。

2025年2月22日10:51，Bybit CEO Ben Zhou發X稱，現時已經充提款正常：

寫在最後

此次盜竊事件再次凸顯了加密貨幣行業面臨的嚴峻安全挑戰。 隨著加密行業的迅速發展，駭客組織，尤其是Lazarus Group等國家級駭客，正持續陞級攻擊手段。 此次事件為加密貨幣交易所敲響了警鐘，平臺需進一步強化安全防護，採用更先進的防禦機制，如多重身份驗證、加密錢包管理、資產監控與風險評估，以保障用戶資產安全。 對於個人用戶而言，提升安全意識同樣至關重要，建議優先選擇硬體錢包等更安全的存儲管道，避免在交易所長期存放大量資金。 在這一不斷演進的領域，唯有持續陞級科技防線，才能確保數位資產安全，推動行業健康發展。

歡迎加入深潮TechFlow官方社群

Telegram訂閱群： https://www.gushiio.com/TechFlowDaily

Twitter官方帳號： https://www.gushiio.com/TechFlowPost

Twitter英文账号：https://www.gushiio.com/DeFlow_Intern