作者：Yohan Yun，Aaron Wood；编译：邓通，金色财经

针对 Bybit 的 14 亿美元黑客攻击不仅是加密货币历史上最大的一次攻击，也是对该行业危机管理能力的一次重大考验，凸显了自 FTX 崩溃以来该行业的成熟度。

2 月 21 日，朝鲜的 Lazarus Group 盗取了价值 14 亿美元的以太坊和相关代币，这一事件最初让整个加密货币世界感到不寒而栗，但随着行业团结起来支持 Bybit 来管理后果，这一事件很快被平息。

让我们来看看攻击是如何展开的，Bybit 如何应对，以及被盗资金的去向。

2 月 21 日：Bybit 遭到黑客攻击

Bybit 黑客攻击事件首先由链上侦探 ZachXBT 发现，他警告平台和交易所将与黑客攻击相关的地址列入黑名单。

此后不久，Bybit 联合创始人兼首席执行官 Ben Zhou 证实了这一漏洞，并开始提供有关此次入侵的最新消息和信息。

Chainalysis 的一份事后分析报告最初指出，Lazarus 实施了网络钓鱼攻击以访问交易所的资金，但该分析后来更新为报告称，黑客控制了 Safe 开发人员的计算机，而不是入侵 Bybit 的系统。

攻击者设法“重新路由”了约 401,000 个 ETH，在攻击发生时价值 11.4 亿美元，并通过中间钱包网络转移。

黑客利用复杂的钱包、交换和跨链转账网络来隐藏资金。资料来源：Chainalysis

2 月 21 日：Bybit 保证钱包安全，Ethena 偿付能力

该交易所迅速向用户保证其剩余的钱包是安全的，在确认漏洞几分钟后，交易所宣布“所有其他 Bybit 冷钱包仍然完全安全。所有客户资金都是安全的，我们的运营照常进行，没有任何中断。”

黑客攻击发生几个小时后，客户提款仍然开放。Zhou在问答环节表示，交易所当时已批准并处理了 70% 的提款请求。

去中心化金融平台 Ethena 告诉用户，其收益稳定币 USDe 在黑客攻击后仍然有偿付能力。据报道，该平台在 Bybit 上有 3000 万美元的金融衍生品敞口，但能够通过其储备基金弥补损失。

2 月 22 日：加密货币行业向 Bybit 伸出援手，黑客被列入黑名单

许多加密货币交易所都伸出援手帮助 Bybit。Bitget 首席执行官 Gracy Chen 宣布，她的交易所已借给 Bybit 约 40,000 ETH（当时约合 9500 万美元）。

Crypto.com 首席执行官 Kris Marszalek 表示，他将指示公司安全团队提供帮助。

其他交易所和机构开始冻结与黑客攻击有关的资金。Tether 首席执行官 Paolo Ardoino 在 X 上发帖称，该公司已冻结与黑客攻击有关的 181,000 USDt。Polygon 首席信息安全官 Mudit Gupta 表示，Mantle 团队已从黑客手中追回约 4300 万美元的资金。

Zhou 在 X 上发布了一篇感谢信，提到了一些帮助 Bybit 的知名加密公司，包括 Bitget、Galaxy Digital、TON 基金会和 Tether。

Bybit 还宣布了一项赏金计划，奖励高达追回资金的 10%，奖金总额高达 1.4 亿美元。

2 月 22 日：提现挤兑，Lazarus 转移资金

事件发生后，用户提款导致交易所的总资产价值下降超过 53 亿美元。

尽管提款出现挤兑，但交易所仍保持提款请求开放，尽管有所延迟，Bybit 的独立储备证明审计师 Hacken 证实，储备仍超过负债。

与此同时，区块链踪迹显示，Lazarus 继续将资金分拆到中介钱包中，进一步混淆了资金的动向。

例如，区块链分析公司 Lookonchain 表示，Lazarus 已将价值近 3000 万美元的 10,000 ETH 转移到一个名为“Bybit Exploiter 54”的钱包，开始洗钱。

区块链安全公司 Elliptic 写道，这些资金很可能被转移到一个混币器（一种隐藏区块链交易之间联系的服务）中，尽管“由于被盗资产数量庞大，这可能具有挑战性。”

2 月 23 日：eXch、Bybit 继续恢复资金，黑名单不断增加

区块链分析师 ZachXBT 和 Nick Bax 均声称黑客能够在非“了解您的客户”加密货币交易所 eXch 上洗钱。ZachXBT 声称 eXch 洗钱了 3500 万美元，然后意外地将 34 ETH 发送到另一家交易所的热钱包。

EXch 否认为朝鲜洗钱，但承认处理了“ByBit 黑客攻击的一小部分资金”。

eXch 表示，这些资金“最终进入了我们的地址 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123，这是一个孤立案例，也是我们交易所处理的唯一部分，我们将从中收取费用用于公共利益”。

为了帮助识别参与该事件的钱包，Bybit 发布了黑名单钱包应用程序编程接口 (API)。该交易所表示，该工具将帮助白帽黑客实施上述赏金计划。

Bybit 还设法将其以太坊储备恢复到黑客攻击前的近一半，主要是通过事件发生后在场外交易中购买现货，但也包括从其他交易所借出的以太坊。

2 月 24 日：Lazarus 出现在 DEX 上，Bybit 填补了 ETH 缺口

区块链侦探继续监控与 Lazarus 相关的资金流向。Arkham Intelligence 在去中心化交易所 (DEX) 上观察到与黑客相关的地址，试图将窃取的加密货币交易为 Dai。

据报道，一个从 Bybit 收到部分被盗 ETH 的钱包与 Sky Protocol、Uniswap 和 OKX DEX 进行了交互。据交易平台 LMK 称，黑客成功交换了至少 364 万美元。

与 USDT 和 USDC 等其他稳定币不同，Dai 无法被冻结。

Zhou 宣布，Bybit 已“完全弥补 ETH 缺口”——即补充黑客攻击中损失的 14 亿美元以太坊。他的声明之后是一份第三方储备证明报告。

Bybit 将其 Ether 储备恢复到黑客攻击前的水平。资料来源：Darkfost

2 月 25 日：Lazarus之战

Bybit 推出了一个专门的网站来宣传其恢复工作，Zhou 在呼吁加密货币社区团结起来对抗 Lazarus Group 的同时对其进行了宣传。该网站区分了那些提供帮助的人和那些据称拒绝合作的人。

据报道，近 9500 万美元的资金被转移到 eXch。来源：LazarusBounty

报告重点介绍了协助冻结被盗资金的个人和实体，并向他们颁发了 10% 的赏金，由举报人和冻结资金的实体平分。

报告还指出，eXch 是唯一拒绝提供帮助的平台，声称其忽略了 1,061 份举报。

2 月 26 日：FBI 确认有关 Lazarus 和 Safe 入侵的报告

美国联邦调查局 (FBI) 证实了广泛报道的怀疑，即朝鲜黑客实施了 Bybit 漏洞攻击，并点名 TraderTraitor 组织，在网络安全圈中，该组织更广为人知的名字是 Lazarus 集团。

在一份公共服务公告中，FBI 敦促私营部门（包括节点运营商、交易所和桥梁）阻止来自与 Lazarus 关联的地址的交易。

美国联邦调查局 (FBI) 确定了 51 个与黑客攻击有关的可疑区块链地址，而网络安全公司 Elliptic 则确定了超过 11,000 个中介机构。

同时，黑客攻击后的调查发现，被盗用的 SafeWallet 凭证导致了漏洞利用，而不是像之前报道的那样通过 Bybit 的基础设施。

2 月 27 日：THORChain 交易量爆发

安全公司 TRM Labs 称 Bybit 黑客洗钱的速度“特别令人担忧”，据报道，截至 2 月 26 日，黑客通过中间钱包、加密货币兑换、跨链桥和 DEX 转移了超过 4 亿美元。TRM 还指出，大部分被盗收益都被兑换成了比特币，这是一种通常与 Lazarus 有关的策略。大多数兑换后的比特币仍被存放在原处。

与此同时，Arkham Intelligence 发现 Lazarus 已通过陷入困境的跨链协议 THORChain 转移了至少 2.4 亿美元的 ETH，将其兑换成比特币。THORChain 的总兑换量在 48 小时内激增至 10 亿美元以上。

在阻止与朝鲜黑客有关的交易的投票被推翻后，THORChain 开发商“Pluto”宣布立即退出该项目。与此同时，Lookonchain 报道称，黑客已经洗白了 54% 的被盗资金。

Bybit 黑客攻击对加密货币意味着什么

Bybit 可能已经能够完全恢复其丢失的储备，但这一事件引发了有关区块链行业以及如何应对黑客攻击的更大问题。

以太坊开发人员 Tim Beiko 迅速驳回了要求回滚以太坊网络以退还 Bybit 的呼吁。他说，这次黑客攻击与以前的事件有着根本的不同，并补充说“以太坊的互联性质以及链上<>链下经济交易的结算，使得这一问题在今天变得棘手。”

Bybit 漏洞的后果表明 Lazarus Group 在转移基于区块链的资金方面变得更加高效。TRM 实验室的调查人员怀疑，这可能表明朝鲜的加密基础设施有所改善，或者地下金融网络吸收非法资金的能力有所增强。

随着区块链平台锁定的价值不断增长，攻击的复杂性也在不断提高。该行业仍然是朝鲜国家黑客的主要目标，据报道，他们将其收入用于资助其武器计划。