根據鏈上偵探ZachXBT調查,Bybit駭客事件的元兇是北韓駭客組織Lazarus Group。另外,慢霧安全專家余弦表示,駭客先是部署惡意合約,並在之後駭入bybit內部持有錢包多簽的員工電腦,拿到 3 個多簽權限後替換惡意合約,最後竊走資金。
(前情提要:Bybit駭客盜取14.7億鎂ETH,超越Vitalik、以太坊基金會成為「全球第14大」持有者 )
(背景補充:Bybit要「借50萬枚ETH」渡難關?KOL:除了機構聯合外只剩幣安 )
加密貨幣交易所 Bybit 今日凌晨驚傳遭駭價值約 14.7 億美元的 ETH 和 stETH,瞬間引爆社群。根據 Arkham 分析數據,駭客將資產變賣後得手價值約 13.4 億美元 ETH(499,395 枚)以及 4200 萬美元的 cmETH(15,000枚),並將資金分散在 53 個地址中。
雖然 Bybit 此次遭駭損失慘重,以太坊資金漏洞高達 50 萬枚。但相關機構與交易所仍然願意貢獻一己之力,透過借款 ETH 助力 Bybit 度過短期提領潮。
不僅如此,也有鏈上相關專家幫忙找出本次事件的元兇以及他們的作案手法。
原兇是北韓駭客組織 Lazarus Group
在駭客事件發生後,鏈上分析平台 Arkham 就立刻發出 50,000 枚 ARKM 的懸賞,獎勵找出整起駭客事件的元兇。對此,鏈上偵探 ZackXBT 首先提交犯人證據並獲得獎勵,而整起事件的元兇,就是幣圈非常熟悉的北韓駭客組織「LAZARUS GROUP」。
而在推文底下有人詢問 ZackXBT:「Bybit 能從 LAZARUS 拿回多少遭駭資金(可能透過協商拿回)」。對此,ZackXBT 表示,在樂觀情況下,或許可以拿回 15~30% 資金:
部分追回比較常見(樂觀情況下 15-30%?),但要清洗 14.6 億美金可能會更難,這取決於他們有多耐心。
最近的駭客事件中,Lazarus 主要是把資金分散到不同鏈上的中國交易所,最終透過 OTC 交易換手。
朝鮮 IT 人員曾經全額歸還 Munchables 的資金,但那是完全不同的一個團隊。
OneKey:大概率是 Bybit 工作人員電腦被入侵
另外,對於整起駭客事件的攻擊手法,慢霧安全專家余弦表示,攻擊者先在 2 月 19 日部署惡意合約,並在 2 月 21 日利用 Bybit Safe 多簽錢包的三個 owner 簽署,將 Safe 合約替換成惡意合約,最後透過惡意合約進行操作,竊走 Bybit 錢包的資金。
冷錢包團隊 OneKey 補充表示,駭客大概率確認 bybit 的三個多簽電腦已被入侵,具備可攻擊條件。並在接下來的多簽工作人員日常轉帳簽名時替換簽名內容。
安全專家:Bybit 被盜事件不是個案,去年就有多起遭駭事件
接著,余弦在今早再度發推表示,Bybit 本次被盜事件不是個案,北韓駭客在去年已經成功利用類似手法攻擊多家平台:
Safe 合約本身沒有問題,問題出在非合約部分,前端被篡改並偽造,以達到欺騙效果。這並非個案,朝鮮駭客去年已成功攻擊多家平台,例如:
- WazirX:2.3 億美元,Safe 多簽
- Radiant Capital:5000 萬美元,Safe 多簽
- DMM:3.05 億美元,Gnosis 多簽
這類攻擊手法已經工程化、成熟化,確實厲害。其他項目方也需要提高警惕,類似的攻擊點可能不僅存在於 Safe 的多簽機制。
Safe 合约没问题,问题在非合约部分,前端被篡改伪造达到欺骗效果。这个不是个案。朝鲜黑客去年就搞定过好几家,如:
– WazirX $230M Safe 多签
– Radiant Capital $50M Safe 多签
– DMM $305M Gonco 多签
这种攻击手法工程化成熟,真强。其他家也需要多注意,多签可能不止 Safe 存在这类攻击点。
— Cos(余弦)😶🌫️ (@evilcos) February 22, 2025
