一文看懂Bybit被盜ETH的洗白時間線

訪客 4個月前 (03-04) 閱讀數 141 #區塊鏈

文章標簽前沿文章

作者：Yohan Yun，Aaron Wood；編譯：鄧通，喜來順財經

針對 Bybit 的 14 億美元黑客攻擊不僅是加密貨幣歷史上最大的一次攻擊，也是對該行業危機管理能力的一次重大考驗，凸顯了自 FTX 崩潰以來該行業的成熟度。

2 月 21 日，朝鮮的 Lazarus Group 盜取了價值 14 億美元的以太坊和相關代幣，這一事件最初讓整個加密貨幣世界感到不寒而栗，但隨著行業團結起來支持 Bybit 來管理后果，這一事件很快被平息。

讓我們來看看攻擊是如何展開的，Bybit 如何應對，以及被盜資金的去向。

2 月 21 日：Bybit 遭到黑客攻擊

Bybit 黑客攻擊事件首先由鏈上偵探 ZachXBT 發現，他警告平臺和交易所將與黑客攻擊相關的地址列入黑名單。

此后不久，Bybit 聯合創始人兼首席執行官 Ben Zhou 證實了這一漏洞，并開始提供有關此次入侵的最新消息和信息。

Chainalysis 的一份事后分析報告最初指出，Lazarus 實施了網絡釣魚攻擊以訪問交易所的資金，但該分析后來更新為報告稱，黑客控制了 Safe 開發人員的計算機，而不是入侵 Bybit 的系統。

攻擊者設法“重新路由”了約 401,000 個 ETH，在攻擊發生時價值 11.4 億美元，并通過中間錢包網絡轉移。

黑客利用復雜的錢包、交換和跨鏈轉賬網絡來隱藏資金。資料來源：Chainalysis

2 月 21 日：Bybit 保證錢包安全，Ethena 償付能力

該交易所迅速向用戶保證其剩余的錢包是安全的，在確認漏洞幾分鐘后，交易所宣布“所有其他 Bybit 冷錢包仍然完全安全。所有客戶資金都是安全的，我們的運營照常進行，沒有任何中斷。”

黑客攻擊發生幾個小時后，客戶提款仍然開放。Zhou在問答環節表示，交易所當時已批準并處理了 70% 的提款請求。

去中心化金融平臺 Ethena 告訴用戶，其收益穩定幣 USDe 在黑客攻擊后仍然有償付能力。據報道，該平臺在 Bybit 上有 3000 萬美元的金融衍生品敞口，但能夠通過其儲備基金彌補損失。

2 月 22 日：加密貨幣行業向 Bybit 伸出援手，黑客被列入黑名單

許多加密貨幣交易所都伸出援手幫助 Bybit。Bitget 首席執行官 Gracy Chen 宣布，她的交易所已借給 Bybit 約 40,000 ETH（當時約合 9500 萬美元）。

Crypto.com 首席執行官 Kris Marszalek 表示，他將指示公司安全團隊提供幫助。

其他交易所和機構開始凍結與黑客攻擊有關的資金。Tether 首席執行官 Paolo Ardoino 在 X 上發帖稱，該公司已凍結與黑客攻擊有關的 181,000 USDt。Polygon 首席信息安全官 Mudit Gupta 表示，Mantle 團隊已從黑客手中追回約 4300 萬美元的資金。

Zhou 在 X 上發布了一篇感謝信，提到了一些幫助 Bybit 的知名加密公司，包括 Bitget、Galaxy Digital、TON 基金會和 Tether。

Bybit 還宣布了一項賞金計劃，獎勵高達追回資金的 10%，獎金總額高達 1.4 億美元。

2 月 22 日：提現擠兌，Lazarus 轉移資金

事件發生后，用戶提款導致交易所的總資產價值下降超過 53 億美元。

盡管提款出現擠兌，但交易所仍保持提款請求開放，盡管有所延遲，Bybit 的獨立儲備證明審計師 Hacken 證實，儲備仍超過負債。

與此同時，區塊鏈蹤跡顯示，Lazarus 繼續將資金分拆到中介錢包中，進一步混淆了資金的動向。

例如，區塊鏈分析公司 Lookonchain 表示，Lazarus 已將價值近 3000 萬美元的 10,000 ETH 轉移到一個名為“Bybit Exploiter 54”的錢包，開始洗錢。

區塊鏈安全公司 Elliptic 寫道，這些資金很可能被轉移到一個混幣器（一種隱藏區塊鏈交易之間聯系的服務）中，盡管“由于被盜資產數量龐大，這可能具有挑戰性。”

2 月 23 日：eXch、Bybit 繼續恢復資金，黑名單不斷增加

區塊鏈分析師 ZachXBT 和 Nick Bax 均聲稱黑客能夠在非“了解您的客戶”加密貨幣交易所 eXch 上洗錢。ZachXBT 聲稱 eXch 洗錢了 3500 萬美元，然后意外地將 34 ETH 發送到另一家交易所的熱錢包。

EXch 否認為朝鮮洗錢，但承認處理了“ByBit 黑客攻擊的一小部分資金”。

eXch 表示，這些資金“最終進入了我們的地址 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123，這是一個孤立案例，也是我們交易所處理的唯一部分，我們將從中收取費用用于公共利益”。

為了幫助識別參與該事件的錢包，Bybit 發布了黑名單錢包應用程序編程接口 (API)。該交易所表示，該工具將幫助白帽黑客實施上述賞金計劃。

Bybit 還設法將其以太坊儲備恢復到黑客攻擊前的近一半，主要是通過事件發生后在場外交易中購買現貨，但也包括從其他交易所借出的以太坊。

2 月 24 日：Lazarus 出現在 DEX 上，Bybit 填補了 ETH 缺口

區塊鏈偵探繼續監控與 Lazarus 相關的資金流向。Arkham Intelligence 在去中心化交易所 (DEX) 上觀察到與黑客相關的地址，試圖將竊取的加密貨幣交易為 Dai。

據報道，一個從 Bybit 收到部分被盜 ETH 的錢包與 Sky Protocol、Uniswap 和 OKX DEX 進行了交互。據交易平臺 LMK 稱，黑客成功交換了至少 364 萬美元。

與 USDT 和 USDC 等其他穩定幣不同，Dai 無法被凍結。

Zhou 宣布，Bybit 已“完全彌補 ETH 缺口”——即補充黑客攻擊中損失的 14 億美元以太坊。他的聲明之后是一份第三方儲備證明報告。

Bybit 將其 Ether 儲備恢復到黑客攻擊前的水平。資料來源：Darkfost

2 月 25 日：Lazarus?之戰

Bybit 推出了一個專門的網站來宣傳其恢復工作，Zhou 在呼吁加密貨幣社區團結起來對抗 Lazarus Group 的同時對其進行了宣傳。該網站區分了那些提供幫助的人和那些據稱拒絕合作的人。

據報道，近 9500 萬美元的資金被轉移到 eXch。來源：LazarusBounty

報告重點介紹了協助凍結被盜資金的個人和實體，并向他們頒發了 10% 的賞金，由舉報人和凍結資金的實體平分。

報告還指出，eXch 是唯一拒絕提供幫助的平臺，聲稱其忽略了 1,061 份舉報。

2 月 26 日：FBI 確認有關 Lazarus 和 Safe 入侵的報告

美國聯邦調查局 (FBI) 證實了廣泛報道的懷疑，即朝鮮黑客實施了 Bybit 漏洞攻擊，并點名 TraderTraitor 組織，在網絡安全圈中，該組織更廣為人知的名字是 Lazarus 集團。

在一份公共服務公告中，FBI 敦促私營部門（包括節點運營商、交易所和橋梁）阻止來自與 Lazarus 關聯的地址的交易。

美國聯邦調查局 (FBI) 確定了 51 個與黑客攻擊有關的可疑區塊鏈地址，而網絡安全公司 Elliptic 則確定了超過 11,000 個中介機構。

同時，黑客攻擊后的調查發現，被盜用的 SafeWallet 憑證導致了漏洞利用，而不是像之前報道的那樣通過 Bybit 的基礎設施。

2 月 27 日：THORChain 交易量爆發

安全公司 TRM Labs 稱 Bybit 黑客洗錢的速度“特別令人擔憂”，據報道，截至 2 月 26 日，黑客通過中間錢包、加密貨幣兌換、跨鏈橋和 DEX 轉移了超過 4 億美元。TRM 還指出，大部分被盜收益都被兌換成了比特幣，這是一種通常與 Lazarus 有關的策略。大多數兌換后的比特幣仍被存放在原處。

與此同時，Arkham Intelligence 發現 Lazarus 已通過陷入困境的跨鏈協議 THORChain 轉移了至少 2.4 億美元的 ETH，將其兌換成比特幣。THORChain 的總兌換量在 48 小時內激增至 10 億美元以上。

在阻止與朝鮮黑客有關的交易的投票被推翻后，THORChain 開發商“Pluto”宣布立即退出該項目。與此同時，Lookonchain 報道稱，黑客已經洗白了 54% 的被盜資金。