Bybit被盗超15亿美元资产,为什么?
第三财经网 2025-03-25 20:14 340
被盗资金按照 10000枚 ETH 一组被分散转入 40 多个以太坊地址,Beosin 安全团队分析这次事件的攻击手法和 WazirX 比较类似,都是通过前端 UI 欺骗,让多签钱包签署了恶意内容,篡改了多签钱包的逻辑实现合约,导致多签钱包的资金被转出
Bybit被盗超15亿美元资产,为什么?北京时间 2 月 21 日晚上 11 时 20 分,ZachXBT 发文表示:“监测到 Bybit 有可疑资金流出,规模超 14.6 亿美元”。根据 Beosin Trace 监测,Bybit 共计被盗 ETH 及衍生品达 514, 723 枚,资金规模超 15 亿美元。随后,Bybit 联创 Ben Zhou 发文证实了 Bybit 官方冷钱包被盗一事,并着手进行安全处理。
下面第三财经网小编将给大家详细介绍Bybit被盗的原因以及Bybit被盗的处理结果,下面一起看看吧!
涉及资金主要为 ETH,涉案规模超 15 亿美元,或为金融史上最大被盗事件
北京时间 2 月 21 日 11 时 20 分,ZachXBT 发布警示消息后,在稍作验证后,第一时间进行了跟进。
当时可以确定的消息是,黑客相关地址为 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2;在盗取资金后,其在 DEX 上将 mETH & stETH 快速兑换为了 ETH。
黑客第一时间进行 Swap 兑换
就在外界还在猜测,“规模如此之大的一笔资金流动,是否为 Bybit 官方整理钱包或有其他目的”之时,ZachXBT 很快给出了新的提示:“我的消息来源确认 Bybit 资金流出是一起安全事件(My sources confirm it's a security incident)。”
此外,ZachXBT 向各大交易所、服务商等有关人员提醒道:“建议拉黑以下 EVM 地址——
0x47666fab8bd0ac7003bce3f5c3585383f09486e2;
0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e;
0x36ed3c0213565530c35115d93a80f9c04d94e4cb;
0x1542368a03ad1f03d96D51B414f4738961Cf4443;
0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。”
此举意在第一时间切断黑客清洗资金的 CEX 渠道,避免 Bybit 被盗资金的进一步流失。后续,Bitunix、OKX 等加密交易所相继回应,已拉黑 Bybit 安全事件相关的黑客地址。
根据 Beosin Trace 监测统计,共计被盗 ETH 及衍生品 514, 723 枚,分别包括:
401, 347 枚 ETH,价值 11.2 亿美元;
90, 376 枚 stETH,价值 2.5316 亿美元;
15, 000 枚 cmETH,价值 4, 413 万美元;
8, 000 枚 mETH,价值 2300 万美元。
彼时,被盗资金按照 10000 枚 ETH 一组被分散转入 40 多个以太坊地址。Beosin 安全团队分析这次事件的攻击手法和 WazirX 比较类似,都是通过前端 UI 欺骗,让多签钱包签署了恶意内容,篡改了多签钱包的逻辑实现合约,导致多签钱包的资金被转出。
Bybit 官方首次回应:多签钱包交易遭攻击篡改,其余冷钱包资产安全,交易所提币正常
事件发生后,Bybit 联合创始人 Ben Zhou 于 X 平台第一时间对外发声:“Bybit ETH 多签冷钱包大约 1 小时前向 Bybit 热钱包进行了一笔转账。这笔特定交易可能遭到了篡改,中间所有多签钱包签署者都看到了篡改的 UI 界面显示了正确的转账地址,且网站链接来自 @safe 。然而,签名信息是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们多签签署的特定 ETH 冷钱包,并将冷钱包中的所有 ETH 转账到了某未知地址。请放心,Bybit 其他冷钱包都是安全的,CEX 内部所有提款均正常运行。”
此外,Ben Zhou 也向外界发出求助信息:“我们会随时向大家公布该事件的最新进展。如果任何团队能帮助我们追踪被盗资金,将不胜感激。”
链上资金动向:黑客此前将近 50 万枚 ETH 分散转入 51 个地址,现已将部分 ETH 跨链清洗为 BTC
21 日 11 时 35 分,Arkham 监测到,Bybit 流出的 14 亿美元的 ETH 和 stETH 已经转移到新的地址进行出售。截止当时,黑客已出售价值 2 亿美元的 stETH。链上追踪地址为 https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2。
21 日晚上 12 时整,ZachXBT 再次更新最新链上资金动向,其中,10000 枚 ETH 被黑客分散转入 39 个地址当中,此外,该名黑客还将 10000 枚 ETH 转入另外 9 个地址。22 日凌晨 0 时 18 分,据 Arkham 监测统计,价值约 1 亿美元的 ETH (约 40 万枚)现已从黑客原始地址转移至新钱包。
据链上分析师余烬最新监测信息显示,或因 cmETH 的流动性池子非常浅,Bybit 被盗的 1.5 万枚 cmETH 解质押申请被 cmETH 提款合约退回,或可被成功拦截,避免进一步损失(此事已得到 mETH Protocol 官方证实)。 除此之外,Bybit 的被盗 ETH 数量是 49.9 万枚 (价值约 13.7 亿美元),被黑客分散存放在 51 个地址中。
链上资金动向
截止撰稿前,黑客原始地址仅剩余 366.9 万美元资产,其中 ETH 持仓量骤减至 1346 枚。
链上信息
据安全公司慢雾创始人余弦小范围调查后发文表示,综合搞 Safe 多签的手法及目前洗币手法,初步怀疑此次事件或为朝鲜黑客所为,具体信息仍然有待进一步的追踪。
慢雾随后也发布了 Bybit 黑客操作的技术细节:
一个恶意的实施合约于 UTC 2025-02-19 7: 15: 23 被部署: https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516
UTC 2025-02-21 14: 13: 35 ,攻击者利用三位所有者签署交易,用恶意合约替换 Safe 的实施合约: https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
攻击者随后利用恶意合约中的后门函数“sweepETH”和“sweepERC 20 ”窃取热钱包。
22 日凌晨 3 时许,该消息得到了进一步证实。据 Arkham 平台发文,ZachXBT 在北京时间 2 月 22 日凌晨 03: 09 时提交了确凿证据,证明朝鲜黑客组织 Lazarus Group 策划了此次攻击,并附带测试交易分析、相关钱包连接及取证图表。该报告已提交给 ByBit 团队协助调查。此外,ZachXBT 于评论区表示,根据他本人及 CF 的 Josh 调查,Bybit 黑客攻击与 Phemex 黑客攻击存在关联。
22 日下午 3 时许,链上侦探 ZachXBT 及链上分析师余烬相继发文警示, Lazarus Group 黑客正将 5000 枚 ETH 通过中心化混币器 eXch 及跨链桥 Chainflip 清洗为 BTC。
针对此事,Bybit CEO Ben Zhou 也第一时间做出回应表示,已监测到黑客正试图通过 Chainflip 转移 BTC,希望跨链桥项目帮助 Bybit 阻止并防止进一步将资产转移到其他链。Bybit 将很快向任何帮助其阻止或追踪导致资金追回的资金的人发布赏金计划。
23 日 12 时许,Bybit CEO Ben Zhou 喊话中心化混币器 eXch:“此时此刻,其实与 Bybit 或任何实体无关,而是我们作为一个行业对待黑客的一般态度,真心希望@eXch 能够重新考虑并帮助我们阻止资金从他们那里流出。我们也得到了 Interpool 和国际监管机构的帮助,帮助阻止这些资金不仅仅是在帮助 Bybit。”
值得一提的是,此前 eXch 拒绝了 Bybit 提出的资金拦截请求,有较大量 ETH 通过 eXch 混币转移,安全公司慢雾表示 eXch 的态度一贯如此。令人想笑的是,据链上侦探 ZachXBT 于此前发文披露,eXch(中心化混币器)团队在帮助 Bybit 安全事件黑客团队 Lazarus Group 清洗 3500 万美元之后,错将 34 枚 ETH(价值 9.6 万美元)发送至另一交易所热钱包地址,让人不得不感叹一句“链上小丑
