025年2月21日,Bybit遭遇史上最大加密货币盗窃案,损失高达14.6亿美元
2025年2月21日,总部位于迪拜的加密货币交易所Bybit遭遇了一场规模空前的黑客攻击,损失高达14.6亿美元的加密资产。初步调查显示,攻击者通过恶意软件诱骗交易所批准了资金转移,将巨额资产转入窃贼账户。这一事件不仅成为加密货币领域有史以来最大的盗窃案,也刷新了全球单一盗窃案的纪录——此前,这一纪录由2003年伊拉克战争前夕萨达姆·侯赛因从伊拉克中央银行盗取的10亿美元保持。
Lazarus集团:幕后黑手浮出水面
区块链分析公司Elliptic通过追踪被盗资金的洗钱路径,判定此次攻击的幕后黑手是朝鲜的Lazarus集团。自2017年以来,该集团已累计窃取超过60亿美元的加密资产,据称这些资金被用于支持朝鲜的弹道导弹计划。Lazarus集团以其强大的技术能力和复杂的洗钱手段闻名,不仅能够入侵目标组织窃取资产,还能通过数千笔区块链交易清洗赃款。
追踪与应对:Elliptic的全球协作
在事件发生后,Elliptic与Bybit、加密货币服务提供商及其他调查人员展开了全天候合作,全力追踪被盗资金并阻止其变现。作为全球领先的加密资产交易和钱包筛查解决方案提供商,Elliptic的软件已向全球客户发出警示,询问是否收到此次盗窃的赃款。这一举措已成功冻结了部分被盗资金。
Lazarus集团的洗钱模式
Lazarus集团的洗钱过程通常分为两步:
-
代币兑换
首先,攻击者会将所有被盗的代币兑换为“原生”区块链资产,如ETH。这是因为代币有发行方,可能被冻结,而ETH或比特币则无法被中央机构控制。在Bybit事件中,数亿美元的被盗代币(如stETH和cmETH)在几分钟内被兑换为ETH,攻击者利用去中心化交易所(DEXs)完成这一操作,以避免中心化交易所的资产冻结风险。 -
资金分层
第二步是对被盗资金进行“分层”,以掩盖交易路径。区块链的透明性使得交易路径可被追踪,但分层策略会大幅增加追踪难度,为洗钱者争取时间。分层手段包括:- 通过大量加密货币钱包转移资金;
- 使用跨链桥或交易所将资金转移到其他区块链;
- 使用DEXs、代币交换服务或交易所在不同加密资产之间切换;
- 使用“混币器”如Tornado Cash或Cryptomixer。
当前进展:洗钱进入第二阶段
截至UTC时间2月23日晚上10点,Lazarus集团已进入洗钱的第二阶段。被盗资金被分散到50个不同的钱包,每个钱包持有约10,000 ETH。目前,10%的被盗资产(价值约1.4亿美元)已从这些钱包中转移。这些资金正通过DEXs、跨链桥和中心化交易所逐步洗白。
值得注意的是,一家名为eXch的加密货币交易所成为此次洗钱的主要协助者。eXch以允许用户匿名交换加密资产而闻名,此前已被用于处理来自犯罪活动的数亿美元资金。尽管Bybit直接提出请求,eXch仍拒绝阻止相关交易。目前,数千万美元的Bybit被盗资产已通过eXch进行交换。
未来预测:洗钱路径的挑战
被盗的ETH正在逐步转换为比特币。如果遵循Lazarus集团以往的洗钱模式,接下来可能会使用混币器进一步混淆交易路径。然而,由于此次被盗资金规模巨大,这一过程可能面临更多挑战。
结语:一场与时间的赛跑
Lazarus集团作为全球最“专业”且资源最丰富的加密资产洗钱者,不断调整技术以逃避追踪。自Bybit事件发生以来,Elliptic团队与各方紧密合作,全力阻止朝鲜政权从中获益。这场与时间的赛跑仍在继续,加密货币行业的安全防线也面临着前所未有的考验。
