
Bybit盗窃案第二日:自救、援助与朝鲜黑客的下一步
原标题:历史最大盗窃案第二日:Bybit 自救与行业集体支援;朝鲜黑客将如何变现;反思当下的安全模式
来源:吴说区块链
2 月 22 日上午,Bybit CEO Ben Zhou发推表示,自黑客攻击事件以来(10 小时前),Bybit 经历了我们见过的最多的提款数量,总共有超过 35 万笔提款请求,到目前为止,大约有 2100 个提款请求有待处理。总体 99.994% 的提款已完成。整个团队整夜保持清醒,处理和回答了客户的问题和疑虑。
Bybit CEO BEN 表示,不幸中的万幸是还可以抗住,公司资产大于 15 亿美金;有一个冷钱包也在 safe 中有近 30 亿美金USDT,但幸好没有遭到盗币;如果被盗了超过百亿,可能就要考虑卖公司的问题了;此前从来没有发生大的安全事故,可能让公司放松了警惕,还有很多需要升级的安全措施。
Coinbase主管Conor Grogan 披露数据表示,Bybit 黑客(很可能来自朝鲜)已成为全球第 14 大 ETH 持有者,目前持有约 0.42% 的以太坊代币总供应量,超过了 Fidelity、以太坊联合创始人的 ETH 持有量,并且是以太坊基金会 ETH 持有量的 2 倍以上。
据 @EmberCN 监测,Bybit 黑客于 1 小时前尝试解质押 1.5 万枚 cmETH,但被 cmETH 提款合约退回。黑客随后在 DODO 平台进行了 cmETH 交易授权,但因流动性不足未能完成交易。分析认为这部分资产有望被拦截。除了这 1.5 万枚 cmETH,Bybit 的被盗 ETH 数量为 49.9 万枚(价值约 13.7 亿美元),被黑客分散存放在 51 个地址中。
Lookonchain发推称,据CoinMarketCap数据统计,Bybit 在遭黑客攻击前拥有 162 亿美元储备资产,被盗 14 亿美元资产占比约 8.64%。
据 @EmberCN 监测,MEXC热钱包向 Bybit 冷钱包转款 12,652 枚 stETH (约合 3375 万美元)。Bybit 目前应该是收到了 64,452 枚 ETH (约合 1.7 亿美元) 的借款支援。来自 Bitget、从 Binance 提款的某机构以及 MEXC。某巨鲸或机构从币安向到 Bybit 冷钱包转入 11,800 枚 ETH (价值 3,100 万美元)作为 Bybit 客户提款支持。
Bitget CEO Gracy 表示,主动与 Bybit CEO BEN 交流并主动提供帮助,没有要求任何抵押、没有利息、没有时间限制、也没有需要任何承诺,Bybit 不再需要的时候转回即可,目前了解到的情况是 Bybit 流动性已经完善,不需要更多的支持。Bybit CEO BEN 说,Bitget 第一个给出援手,没有任何要求,还有抹茶和派网。
OKX总裁Hong Fang 表示,与 Bybit 黑客相关地址已被添加到 OKX 的黑名单中,工程师团队正在密切监视这些地址,一旦有资金移动将立即采取行动。我们的团队也正在与 Bybit 团队联系,提供他们在 IT 安全和流动性支持方面的任何帮助。
据Taproot Wizards 联合创始人 Eric Wall 分析,Bybit 被盗事件已基本确认为朝鲜黑客组织 Lazarus Group 所为。据 Chainalysis2022 年报告,该组织处置被盗资金通常遵循固定模式,整个过程可能持续数年。2022 年的数据显示,该组织仍持有 2016 年攻击所得的 5500 万美元资金,显示其并不急于快速变现。
关于被盗资金的处置流程:第一步:将所有 ERC20 代币(包括 stETH 等流动性衍生品)转换为 ETH;第二步:将获得的 ETH 全部兑换为 BTC;第三步:通过亚洲交易所将 BTC 逐步兑换为人民币。
分析指出,Bybit 目前通过借款方式补充约 15 亿美元的 ETH 缺口,这一策略可能基于收回被盗资金的期望。但鉴于确认为 Lazarus Group 所为,追回可能性极低,Bybit 将不得不购入 ETH 偿还贷款。长期来看,Bybit 购入 ETH 与 Lazarus Group 抛售 ETH 换取 BTC 的行为或将相互抵消,而 Lazarus Group 获取的 BTC 将在未来数年内逐步转换为卖压。
Safe 在社交媒体上针对「ByBit 显示了看似正确的交易信息,然而在链上执行了一个具有所有有效签名的恶意交易」问题回应称:未发现代码库泄露:对 Safe 代码库进行了彻底检查,未发现泄露或修改的证据。未发现恶意依赖项:没有迹象表明 Safe 代码库中的恶意依赖项会影响交易流(即供应链攻击);在日志中未检测到对基础设施的未经授权的访问;没有其他 Safe 地址受到影响。
Safe表示,目前其暂时暂停了 Safe{Wallet} 功能,以用户确保对 Safe 平台的安全性有绝对的信心。尽管调查显示没有证据表明 Safe{Wallet} 前端本身遭到入侵,但我们正在进行更彻底的审查。
慢雾余弦表示,Safe 合约没问题,问题在非合约部分,前端被篡改伪造达到欺骗效果。这个不是个案。朝鲜黑客去年就搞定过好几家,如:WazirX $230M Safe 多签,Radiant Capital $50M Safe 多签,DMM $305M Gonco 多签。这种攻击手法工程化成熟。其他家也需要多注意,多签可能不止 Safe 存在这类攻击点。慢雾首席信息安全官 23pds 表示,Bybit 攻击者一次伪造签名攻击就拿走了 safe owner 权限,推测一定有不止一位的 macOS 或 Windows 电脑被控了,而且攻击者可能在内网呆了有段时间,能监控内部聊天、转账时间等信息。
Ethena Labs创始人@leptokurtic_ 表示,Ethena 处理了最大单日赎回,并在新闻爆发的第一时间内平仓了所有未实现的风险敞口。尽管 Bybit 作为全球第二大衍生品交易所代表了超过 20%的避险敞口,但 USDe 从未出现过低估押金的情况。希望此次事件能够验证为降低使用 OES 托管解决方案用户风险而做出的一些设计决策。
Qi Zhou 表示,Bybit 被黑事件引发了大家对多签钱包安全性的深刻反思。在多签交易中,当第一笔交易提交后,后续签名者可能会盲目信任第一个人的交易数据,直接进行签名,而忽略了独立交叉检查的重要性。这种做法实际上违背了多签机制的设计初衷,导致安全隐患。 此次事件的影响非常深远。目前,大部分链上总锁定价值(TVL)的资产都托管在多签管理的合约中,包括跨链桥、DeFi 协议等核心基础设施。如果在合约管理过程中缺乏严格的审核和操作规范,类似的安全事件很可能会再次发生。因此,行业需要重新审视多签流程的安全性,确保每一步都经过独立验证,避免因信任盲区而引发风险。
硬件钱包开发商 Keystone 表示,长期以来,对于诸如 Safe 这样的多签方案,硬件钱包用户往往只能“盲目”签署交易,而无法真正核验自己在确认什么。在前端受到攻击的情况下,硬件钱包就是用户的最后一道防线。现在,Keystone 联合 SlowMist、BlockSec、Offside Labs,希望与 Safe 合作,推动硬件钱包在 Safe 交易中的安全可视化,彻底解决盲签的历史遗留问题,让用户真正看清自己签署的内容。同时,也希望与交易所 Binance、OKX、Bitget、Bybit 等合作,为冷钱包的多签工作流打造更完善的安全方案,确保在更复杂的资产管理场景下,资产始终受到严格保护。
据 SoSoValue 统计以及链上安全团队 TenArmor 的最新监测数据显示,Bybit 交易平台在过去 12 小时内(截止北京时间 2 月 22 日下午)共计流入资金超过 40 亿美元,具体包括 63,168.08 枚 ETH、31.5 亿美元的 USDT、1.73 亿美元的 USDC 和 5.25 亿美元的 CUSD。根据比较资金流入数据,此次资金流入已完全覆盖昨日因黑客攻击所导致的损失。同时,Bybit 交易所的各项服务,包括提现功能,均已恢复正常。
Bybit CEO BEN 表示在被黑的关键时刻获得了这些企业的帮助:比特大陆旗下的 Antalpha、Bitget、Pionex、MEXC、Mirana、Sosovalue、Solana 基金会、TON 基金会、Blockchain Center Dubai、Ghaf Capital、Bitvavo、Tether、Galaxy。
DWF Labs 合伙人 Andrei Grachev 在 X 上表示,Bybit 的黑客事件非常严重,必须进行彻底调查。目前 DWF Labs 尚未从 Bybit 提出任何提款请求,并表示如果需要,他们愿意提供 ETH 支持。他还提到,十分好奇 Vitalik 会如何处理此事,回顾十年前,Vitalik 曾推动以太坊在 DAO 黑客事件后回滚交易。
OKX 总裁 Hong Fang 表示,与 Bybit 黑客相关地址已被添加到 OKX 的黑名单中,工程师团队正在密切监视这些地址,一旦有资金移动将立即采取行动。我们的团队也正在与 Bybit 团队联系,提供他们在 IT 安全和流动性支持方面的任何帮助。
Mask Network 创始人 Suji Yan 表示已将一些 ETH 存回 Bybit,公开地址大概还有不到 1000 万美金,会持续支持希望可以共渡难关。Conflux 联合创始人 Forgiven 也表示注册了 Bybit 并完成 KYC,将 ETH 充值已表示支持,但不建议普通用户效仿,建议等 24-72 小时稳定后再重返 Bybit。火币联合创始人杜均也表示会充值 1 万 ETH 到 Bybit, 并且一个月内不会提出。
北京时间 2 月 22 日下午,ZachXBT 表示,Bybit 事件中的 Lazarus Group 转移了 5000 个 ETH 到新地址,并通过 eXch(一个中心化混币器)洗钱,且通过 Chainflip 将资金桥接到比特币。Bybit CEO Ben Zhou 表示,其监测到黑客正试图通过 Chainflip 转移 BTC。希望跨链桥项目帮助 Bybit 阻止并防止进一步将资产转移到其他链。Bybit 将很快向任何帮助其阻止或追踪导致资金追回的资金的人发布赏金计划。
2 月 22 日下午,据 @EmberCN 消息,已有 5 家机构/个人向 Bybit 提供总计 12 万枚 ETH(约 3.21 亿美元)的借款支援。Bitget:40,000 ETH(约 1.06 亿美元);从币安提款的机构/鲸鱼:11,800 ETH(约 3102 万美元);MEXC:12,652 stETH(约 3375 万美元);币安或另一个从币安提款的机构/鲸鱼:36,000 ETH(约 9654 万美元);0×327…45b 地址:20,000 ETH(约 5370 万美元)。
据 Ethescan 浏览器,由 Mantle 支持的 mETH Protocol 通过管理权限从 Bybit Exploiter 4 中抢救回了 1.5 万枚 cmETH,价值约 4,276 万美元。在早先时候,mETH Protocol 表示 cmEH 提现已恢复。(被误认为是黑客销毁)
mETH Protocol 在 X 上发文回应,针对 Bybit 安全事件,团队采取多项应急措施以减轻影响。首先,协议内置的 8 小时提款延迟机制成功为团队争取了宝贵的响应时间,及时暂停了 cmETH 提款,阻止了未经授权的提现行为。其次,mETH Protocol 对黑客的钱包地址进行了黑名单处理,有效阻止了进一步的 cmETH 转账及其在协议中的操作。此外,协议还减少了在 Mantle 网络 L2 上的 cmETH 流动性。最终,mETH Protocol 成功从黑客地址回收了 15,000 cmETH,恢复了 cmETH 供应的完整性。
CZ 发文表示,有些人质疑我提出的停止所有提款作为标准安全预防措施的建议,我的目的是根据我的经验和观察分享一种实用的方法,但这两种方法都没有绝对的对错。我的指导原则始终是倾向于更安全的一面。发生任何安全事件后,暂停一切,确保我们完全了解发生了什么,黑客如何侵入系统,哪些设备被入侵,再三检查一切是否安全,然后恢复运营。当然,暂停提款可能会引起更多恐慌。我的推文是为了分享什么可能有效,我的目的是及时表示支持。我相信 Ben 根据他掌握的信息做出了最好的决定。
Bybit CEO BEN 在 X 上发文表示,“我同意 CZ 的观点,如果此次黑客攻击是通过渗透我们的内部系统或热钱包被攻破,我们会立即暂停所有提现,直到找到问题的根本原因。但昨天被攻破的是我们的 ETH 冷钱包,这与我们的任何内部系统无关。因此,我可以果断决定让 Bybit 的所有提现和系统功能照常运行。” BEN 还强调,“在昨晚的危机中,Binance 和 CZ 以及许多合作伙伴和行业领袖都主动提供了帮助,我们对此深表感激”。
据 GreekLive,尽管 Bybit 发生了 15 亿美元以太坊被盗事件,整体市场情绪仍保持谨慎乐观。市场认为黑客事件的影响可控,关键支撑位集中在 9.5-9.6 万美元区间。币安和 Bitget 已提供紧急流动性支持,交易者积极售出低波动率期权(29% 波动率),表明对进一步下跌的担忧有限。预期市场将快速恢复并回归均值。
Tether CEO Paolo Ardoino 在 X 上表示,已冻结与 ByBit 黑客事件相关的 18.1 万 USDT。尽管金额不大,但这是一项正当的工作,Tether 将继续监控情况。
Bybit 现正式启动“赏金追回计划”,面向全球网络安全和加密分析领域的精英发出号召,共同追查加密历史上最大规模盗窃案的肇事者。成功追回资金的贡献者将获得 10% 的奖励,赏金总额基于事件发生时价值超过 14 亿美元的被盗 ETH 的可验证追回金额计算。若全部资金追回,赏金总额可能高达 1.4 亿美元。Bybit CEO Ben Zhou 表示,“希望通过“赏金追回计划”正式奖励那些为我们提供专业知识、经验和支持的社区成员,我们不会止步于此。”有意参与“赏金追回计划”的个人或组织,请发送电子邮件至:[email protected]
慢雾文章:在本次事件中,Safe 合约没问题,问题在非合约部分,前端被篡改伪造达到欺骗效果。这个不是个案。朝鲜黑客去年就以此方式攻击了好几个平台。但疑问包括:攻击者可能事先获取了 Bybit 内部财务团队的操作信息,掌握了 ETH 多签冷钱包转账的时间点?通过 Safe 系统,诱导签名者在伪造界面上签署恶意交易?Safe 的前端系统是不是被攻破并被接管了?签名者在 Safe 界面上看到的是正确的地址和 URL,但实际签名的交易数据已被篡改?关键问题在于:是谁最先发起签名请求?其设备安全性如何?
北京时间 2 月 22 日晚间,链上记录显示,疑似 Bybit 的地址(0x2E…1b77)在 10 小时前从 0xEC…B5E76 收取 1 亿枚 USDT,并在 7 小时前分别向 Galaxy Digital 和 FalconX 的 OTC 地址转入 5000 万美元,购得共计 3.69 万枚 ETH,并在 1 小时(北京时间 22:32)前存入了 Bybit。
Cobo 文章指出,Bybit 事件不仅暴露了具体的操作漏洞,更揭示了当前数字资产托管体系的架构性缺陷。Bybit 事件暴露出传统多重签名安全的根本缺陷——没有独立的交易验证层,攻击者可以操纵界面、合约逻辑和交易数据来欺骗签名者。Bybit 事件暴露出传统多重签名安全的根本缺陷——没有独立的交易验证层,攻击者可以操纵界面、合约逻辑和交易数据来欺骗签名者。Cobo 正在推动与各大硬件钱包厂商的深度合作,在保留其原有安全方案的基础上,构建独立的第三方签名审查通道。
比推快讯
更多 >>- 特朗普:美国股市创历史新高
- 纳斯达克上市公司AgriFORCE更名AVAX One,启动5.5亿美元Avalanche投资计划
- Bitlayer主网上线BitVM桥接方案及YBTC
- 美股收盘:三大股指齐刷新高,英伟达市值逼近4.5万亿美元
- USDC Treasury新增铸造2.5亿枚USDC
- DBA创始人和Flashbots战略主管发起“将HYPE总供应量减少45%”提案
- 美国议员呼吁SEC落实行政命令,拟向加密货币开放12.5万亿美元401k养老金市场
- 德银报告:到2030年,比特币与黄金有望共同成为央行储备资产
- Sol Strategies CEO Leah Wald将卸任,公司专注Solana生态布局
- Bakkt任命新董事推动股价单日暴涨逾40%
- 德意志银行:黄金持续创新高表明股市中蕴藏着恐慌
- 美国白宫:标准普尔 500 指数上涨近 15%,纳斯达克指数飙升超 21%
- CZ 评Aster 开通 HYPE300 倍杠杆:玩得漂亮
- 现货黄金站上3740美元/盎司,再创历史新高
- 英伟达股价盘中触及历史新高,现涨 4.1%
- 消息人士:英伟达拟分阶段对OpenAI进行股权投资,不获控制权
- 米兰:仅在通胀目标实现时考虑调整美联储目标
- 米兰:美联储将继续施压要求降息
- UXLINK 疑似遭遇攻击,损失超 1100 万美元
- Kraken 拟在 Kraken Launch 推出比特币收益协议 Yield Basis (YB)
- 米兰:尽快转向中性政策更好,但不恐慌现状
- 哈玛克:解除政策限制时应保持谨慎,估计中性利率较高
- 某交易员从 Hyperliquid 提出 110 万枚 USDC 后存入 Aster 购买 726296 枚 ASTER
- 哈玛克:美联储在通胀方面低估了重要数字
- 山寨行情未能延续,TOTAL3近 4 日跌 6.41%,市场再度降温
- 某神秘巨鲸 7 小时前向 Aster 存入 4,444,444 枚 USDT
- 巴尔金:低失业率和工资增长支持消费者支出
- 巴尔金:预计劳动力市场将继续低招聘、低解雇
- 哈玛克:降息决定源于对风险平衡变化的看法
- 米兰:短期利率高于适当水平可能导致裁员和失业率上升
- 英伟达计划向 OpenAI 投资高达 1000 亿美元
- 美联储理事米兰:货币政策已深入紧缩领域
- Worldcoin 团队钱包半小时前从以太坊主网转出 1.1 亿枚 WLD
- Tether Treasury 在以太坊新增铸造 10 亿枚 USDT
- LayerZero 基金会回购 5000 万枚 ZRO,占供应量的 5%
- Rainbow 宣布将于 2025 年第四季度推出代币 RNBW
- 以太坊提币趋势延续,过去 24 小时 CEX 净流出 9.53 万枚 ETH
- 汇丰启动跨境代币化存款服务
- 美国财长贝森特:本周晚些时候将再面试两名美联储候选人
- 纳指再创新高,加密股普遍未能收回此前跌幅
- Sky:SKY&MKR 代币兑换延迟惩罚已激活,每 3 个月增加 1%
- 据比推数据,ETH现报4193.66美元,24小时跌幅为6.28%,价格波动较大,请谨慎交易,控制风险。
- OKX Star 转推披露 X Layer 激励计划即将宣布
- Portal to Bitcoin 宣布其主网上线日期为 10 月 13 日
- 美联储穆萨莱姆:将采取逐次会议方式来处理利率
- 英国和美国成立特别工作组,探讨数字资产监管合作
- 数据:今日美国比特币 ETF 净流入 1,949 枚 BTC,以太坊 ETF 净流入 25,795 枚 ETH
- 标普 500 指数转涨,市场情绪回暖
- 美联储穆萨莱姆:必须遵守稳定币支付利息的限制
- 某鲸鱼沉寂 2 年后将 362.4 万枚 APX 转进 Aster 1:1 换回 ASTER
比推专栏
更多 >>观点
比推热门文章
- 特朗普:美国股市创历史新高
- 纳斯达克上市公司AgriFORCE更名AVAX One,启动5.5亿美元Avalanche投资计划
- Bitlayer主网上线BitVM桥接方案及YBTC
- 美股收盘:三大股指齐刷新高,英伟达市值逼近4.5万亿美元
- USDC Treasury新增铸造2.5亿枚USDC
- DBA创始人和Flashbots战略主管发起“将HYPE总供应量减少45%”提案
- 美国议员呼吁SEC落实行政命令,拟向加密货币开放12.5万亿美元401k养老金市场
- 残酷数据:88%的空投代币「活」不过3个月
- CZ 答网友问:为什么 $BNB 能突破 1000 美金?
- 德银报告:到2030年,比特币与黄金有望共同成为央行储备资产