概述
2025年2月21日晚间,全球加密货币行业遭遇了一场震惊世界的安全事件。知名交易平台Bybit遭到黑客入侵,超过50万个ETH、stETH和mETH被非法转移至未知地址,当日被盗资产总价值高达14.6亿美元。这一数字刷新了加密行业的历史记录,远超2021年Poly Network被盗6.11亿美元的规模。
来源:https://www.ic3.gov/PSA/2025/PSA250226
来源:https://x.com/benbybit/status/1894768736084885929
作为2018年成立的行业巨头,Bybit日均交易量超过360亿美元,在黑客事件发生前平台资产规模约为162亿美元。这意味着被盗资产约占其总资产的9%,对交易所运营造成了严重影响。
值得注意的是,链上分析师ZachXBT通过深入调查发现,此次攻击很可能与臭名昭著的朝鲜黑客组织Lazarus Group有关。他的调查工作获得了3万美元的赏金奖励。
来源:https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad
事件经过
黑客采用了极其精密的攻击手法。他们首先通过伪装的用户界面成功渗透了Safe员工的计算机系统,随后针对Bybit的Safe前端发起定向攻击。在攻击过程中,黑客巧妙地干扰了Bybit的ETH多重签名冷钱包系统。
当工作人员进行正常转账操作时,黑客暗中篡改了交易内容。由于签名者未能察觉交易已被替换为恶意合约,最终导致巨额资金被转移至黑客控制的地址。整个攻击过程展现了极高的技术水平和精心策划。
在资金转移阶段,黑客表现出了专业的洗钱技巧。2025年2月21日下午3点至4点半期间,他们完成了大部分资金转移操作,仅留下约300万美元ETH在原始钱包中。为掩盖资金流向,黑客将ETH拆分成40笔每笔1万ETH的交易,同时将stETH和mETH分散转移至多个不同钱包。随后又通过去中心化交易所进一步混淆资金踪迹。
这起事件对加密货币市场造成了显著冲击。在Bybit正式确认黑客攻击前,BTC和ETH价格就已开始下跌。公告发布后的几个小时内,比特币下跌3%,以太坊跌幅更是达到7%。虽然ETH价格曾因Bybit的回购操作反弹至2.8万美元,但到周一又再次回落。值得注意的是,黑客现已成为第14大ETH持有者,这种资金集中可能对ETH的市场前景构成长期压力。
来源:https://x.com/Bybit_Official/status/1893585578706227545
事件还引发了关于跨链协议的广泛争议。Lazarus组织经常利用THORChain等跨链交换协议将被盗资金兑换为比特币。根据THORChain Explorer的数据,3月5日的24小时交易量达到9300万美元。该协议开发者因涉嫌为朝鲜黑客组织提供便利而受到严厉批评。
来源:https://thorchain.net/dashboard
黑客组织Lazarus Group揭秘
Lazarus Group是全球最具威胁性的黑客组织之一,其名称源自圣经中死而复生的拉撒路,象征着强大的重生能力。这个神秘组织也被称为”Guardians”、”Peace”或”Whois Team”,虽然成员身份和规模仍是个谜,但普遍认为它直接受朝鲜政府控制。
不同机构对这个组织有不同的称呼:美国国土安全部称其为”Hidden Cobra”,微软则使用”ZINC”或”Diamond Sleet”的代号。据前朝鲜情报官员金国松透露,该组织在朝鲜内部被称为414联络办公室。
美国司法部明确指出,Lazarus Group是朝鲜政府的重要组成部分,其目标不仅包括破坏全球网络安全,还通过网络犯罪规避国际制裁、获取非法资金。凭借低成本高收益的网络攻击手段,这个组织能够通过小型黑客团队对全球金融体系及关键基础设施构成严重威胁,特别是针对韩国和西方国家。
来源:https://en.wikipedia.org/wiki/Lazarus_Group
组织架构与运作模式
Lazarus Group主要由两个分支构成,各自承担不同的任务。BlueNorOff(又称APT38、星辰千里马、BeagleBoyz等)专注于金融网络犯罪,擅长通过伪造SWIFT指令进行非法资金转移。该组织的攻击范围覆盖全球多个国家的金融机构,所得资金被用于支持朝鲜的导弹和核武器计划。
BlueNorOff最臭名昭著的攻击发生在2016年,当时他们试图通过SWIFT网络窃取近10亿美元资金。如果不是因为一条指令的拼写错误导致纽约联邦储备银行阻止了部分资金转移,这次攻击可能造成更严重的后果。该组织采用多种攻击手段,包括网络钓鱼、后门植入、漏洞利用和恶意软件(如DarkComet、WannaCry等)。
另一个分支Andariel(又称”沉默的千里马”、”黑暗首尔”、”来福枪”和”瓦松尼特”等)则专门针对韩国进行网络攻击。根据美国陆军2020年的报告,Andariel拥有约1600名成员,负责网络侦察、漏洞评估以及绘制敌方网络结构,为潜在攻击做准备。除了韩国,该组织还将攻击目标扩展至其他国家的政府机构、关键基础设施和企业。
来源:https://home.treasury.gov/news/press-releases/sm774
历史攻击事件回顾
多年来,Lazarus Group在全球范围内发动了一系列具有重大影响的网络攻击。从早期的DDoS攻击(如2009年的特洛伊行动、2011年的十日雨攻击)开始,逐步发展出更复杂的技术手段,包括数据擦除(2013年黑暗首尔行动)、数据窃取(2014年索尼影视入侵)和金融盗窃(2015年起的银行盗窃案件)。
自2017年起,该组织将重点转向加密货币领域,先后攻击了Bithumb、Youbit、Atomic Wallet、WazirX等交易所,以及Horizon Bridge跨链桥和Axie Infinity链游等项目,累计窃取金额高达数十亿美元。
近年来,Lazarus的攻击范围持续扩大,涉及医疗、网络安全、在线赌场等多个领域。2023年,该组织造成的损失约为3亿美元,占全球黑客攻击总损失的17.6%。
来源:https://x.com/Cointelegraph/status/1894180646584516772
交易平台安全防御策略
面对日益复杂的网络安全威胁,加密货币交易平台需要建立全方位的防御体系。首要任务是强化安全架构设计,采用冷热钱包分离机制,将大部分资产存储在离线冷钱包中,同时实施多重签名授权制度。严格的访问控制同样重要,需要限制员工对敏感数据的访问权限,采用零信任安全模型,防止内部威胁。
在智能合约安全方面,必须进行全面的安全审计,避免重入攻击、整数溢出等常见漏洞。多因素认证(MFA)应该成为所有管理员和用户的强制要求,而DDoS防护措施则需要通过CDN和反向代理等技术来确保平台可用性。
实时监测系统是及时发现异常的关键。通过AI和机器学习技术监测可疑交易模式,配合区块链情报公司的专业服务,可以有效识别黑名单地址并阻止非法资金流入。同时,所有敏感操作都应记录在日志中,进行实时审计。
当攻击发生时,快速响应机制至关重要。平台需要立即冻结可疑账户,暂停相关资金转移,同时联系其他交易所、区块链安全公司和执法机构展开追踪。漏洞分析和修复工作必须迅速展开,同时向用户透明披露事件详情及补救措施。
在资产恢复方面,与国际执法部门(如FBI、Interpol)及区块链追踪机构合作是追回被盗资金的关键。部分交易所通过购买黑客攻击保险来补偿用户损失,而设立应急基金(如Gate.io的SAFU基金)也能在危机时刻保护用户资产。截至2025年3月5日,Gate.io的财政储备达到103.28亿美元,展现了其在资金保障方面的实力。
来源:https://www.gate.io/safu-user-assets-security-fund
用户资产保护指南
在完全数字化的加密货币世界中,资产一旦丢失或被盗通常难以追回,因此采取严格的安全措施至关重要。选择安全的存储方式是首要任务,硬件钱包(如Ledger、Trezor)或纸钱包等冷存储方案适合保存大额资产,而热钱包(如MetaMask、Trust Wallet)则仅应用于日常交易的小额资金。
私钥和助记词的保护是资产安全的核心。这些凭证绝不能与任何人分享,建议手写备份并存放在防火、防水的安全地点。可以考虑将助记词分成几部分分别存放,增加安全性。在账户安全方面,启用Google Authenticator等应用的双重认证(2FA),使用强密码并定期更换,都是基本但有效的防护措施。
分散存储资产可以降低风险,不要将所有加密资产存放在同一交易所或钱包中。选择安全性高的交易平台,及时提现大额资金至私有钱包,关闭不必要的API访问,都能有效提升资产安全。通行密钥(Passkey)技术也值得关注,它通过设备确认身份验证请求,无需输入密码即可安全登录。
来源:https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&pli=1</
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/19658.html
