Bybit內部出包？安全專家：北韓駭客Lazarus疑似入侵交易所員工電腦取得錢包多簽權限

根據鏈上偵探ZachXBT調查，Bybit駭客事件的元兇是北韓駭客組織Lazarus Group。另外，慢霧安全專家余弦表示，駭客先是部署惡意合約，並在之後駭入bybit內部持有錢包多簽的員工電腦，拿到 3 個多簽權限後替換惡意合約，最後竊走資金。
（前情提要： Bybit駭客盜取14.7億鎂ETH，超越Vitalik、以太坊基金會成為「全球第14大」持有者 ）
（背景補充： Bybit要「借50萬枚ETH」渡難關？KOL：除了機構聯合外只剩幣安 ）

加 密貨幣交易所 Bybit 今日凌晨驚傳遭駭價值約 14.7 億美元的 ETH 和 stETH，瞬間引爆社群。根據 Arkham 分析 數據 ，駭客將資產變賣後得手價值約 13.4 億美元 ETH（499,395 枚）以及 4200 萬美元的 cmETH（15,000枚），並將資金分散在 53 個地址中。

雖然 Bybit 此次遭駭損失慘重，以太坊資金漏洞高達 50 萬枚。但相關機構與交易所仍然願意貢獻一己之力，透過借款 ETH 助力 Bybit 度過短期提領潮。

不僅如此，也有鏈上相關專家幫忙找出本次事件的元兇以及他們的作案手法。

原兇是北韓駭客組織 Lazarus Group

在駭客事件發生後，鏈上分析平台 Arkham 就立刻發出 50,000 枚 ARKM 的 懸賞 ，獎勵找出整起駭客事件的元兇。對此，鏈上偵探 ZackXBT 首先提交犯人證據並獲得獎勵，而整起事件的元兇，就是幣圈非常熟悉的北韓駭客組織「LAZARUS GROUP」。

而在推文底下有人詢問 ZackXBT：「Bybit 能從 LAZARUS 拿回多少遭駭資金（可能透過協商拿回）」。對此，ZackXBT 表示，在樂觀情況下，或許可以拿回 15~30% 資金：

部分追回比較常見（樂觀情況下 15-30%？），但要清洗 14.6 億美金可能會更難，這取決於他們有多耐心。

最近的駭客事件中，Lazarus 主要是把資金分散到不同鏈上的中國交易所，最終透過 OTC 交易換手。

朝鮮 IT 人員曾經全額歸還 Munchables 的資金，但那是完全不同的一個團隊。

OneKey：大概率是 Bybit 工作人員電腦被入侵

另外，對於整起駭客事件的攻擊手法，慢霧安全專家余弦 表示 ，攻擊者先在 2 月 19 日部署惡意合約，並在 2 月 21 日利用 Bybit Safe 多簽錢包的三個 owner 簽署，將 Safe 合約替換成惡意合約，最後透過惡意合約進行操作，竊走 Bybit 錢包的資金。

冷錢包團隊 OneKey 補充 表示，駭客大概率確認 bybit 的三個多簽電腦已被入侵，具備可攻擊條件。並在接下來的多簽工作人員日常轉帳簽名時替換簽名內容。

安全專家：Bybit 被盜事件不是個案，去年就有多起遭駭事件

接著，余弦在今早再度發推表示，Bybit 本次被盜事件不是個案，北韓駭客在去年已經成功利用類似手法攻擊多家平台：

Safe 合約本身沒有問題，問題出在非合約部分，前端被篡改並偽造，以達到欺騙效果。這並非個案，朝鮮駭客去年已成功攻擊多家平台，例如：

• WazirX：2.3 億美元，Safe 多簽
• Radiant Capital：5000 萬美元，Safe 多簽
• DMM：3.05 億美元，Gnosis 多簽

這類攻擊手法已經工程化、成熟化，確實厲害。其他項目方也需要提高警惕，類似的攻擊點可能不僅存在於 Safe 的多簽機制。

Safe 合约没问题，问题在非合约部分，前端被篡改伪造达到欺骗效果。这个不是个案。朝鲜黑客去年就搞定过好几家，如：

– WazirX $230M Safe 多签

– Radiant Capital $50M Safe 多签

– DMM $305M Gonco 多签

这种攻击手法工程化成熟，真强。其他家也需要多注意，多签可能不止 Safe 存在这类攻击点。

— Cos(余弦)?‍?️ (@evilcos) February 22, 2025

?相關報導?

Bybit CEO 拒絕上架 Pi 幣：不想未來被大媽大爺圍剿討血汗錢

Bybit 全面公開清算數據，樹立業界新標準

幣安CZ：「被駭15億鎂很嚴重，建議Bybit關閉提款」，有需要我能幫忙