概述

2025年2月21日晚間，全球知名加密貨幣交易平台 Bybit 遭遇了史上最大規模的黑客攻擊，黑客攻擊發生時，超過 500,000 個 ETH、stETH 和 mETH 從 Bybit 的錢包中被盜，當日總資產價值超14.6億美元，被轉移至未知地址。這一事件成爲迄今爲止最大規模的加密盜竊，超過了2021年Poly Network遭竊的6.11億美元。

來源：https://www.ic3.gov/PSA/2025/PSA250226

來源：https://x.com/benbybit/status/1894768736084885929

成立於2018年的 Bybit 是全球最大的加密貨幣交易所之一，日均交易量超過360億美元。根據 CoinMarketCap 數據，黑客事件發生前，Bybit平台資產約爲162億美元，意味着被盜的以太幣約佔其總資產的9%。

鏈上分析師 ZachXBT 提供的證據顯示，這次黑客攻擊可能由朝鮮支持的黑客組織 Lazarus Group 所實施。他因調查該漏洞獲得了 30,000 美元的賞金。

來源：https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

事件經過

黑客攻擊

黑客利用僞裝的用戶界面（UI），黑客成功滲透了Safe員工的計算機，並針對性地攻擊了Bybit的Safe前端。黑客通過僞裝成正常用戶界面的方式，成功幹擾了Bybit的ETH多重籤名冷錢包。在進行正常轉帳操作時，黑客巧妙地篡改了交易內容。

由於籤名者誤以爲自己正在執行正常操作，未能察覺到交易已被替換爲惡意合約，導致14.6億美元的ETH資金被轉移至黑客控制的未知地址。

攻擊流程、手法、防御措施：

資金轉移與洗錢

2025年2月21日下午3點至4點半，黑客完成了大部分資金轉移，攻擊後主錢包內僅剩約300萬美元ETH。黑客將ETH分拆成40筆每筆1萬ETH的交易，並將stETH和mETH轉移至多個不同錢包，以掩蓋資金流向。隨後，黑客通過去中心化交易所（DEX）進一步分散資金，意圖消除所有蹤跡。

來源：https://www.lazarusbounty.com/en?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

市場影響

在 Bybit 正式確認黑客攻擊之前，BTC 和 ETH 的價格就開始下跌。在公告發布後的幾個小時內，比特幣下跌了 3%，而以太坊則下跌了 7%。

周末，ETH因Bybit回購反彈至2.8萬美元，但到周一又回落。黑客現已成爲第14大ETH持有者，這種資金集中可能對ETH前景構成壓力。

來源：https://x.com/Bybit_Official/status/1893585578706227545

對跨鏈協議的爭議

Lazarus常利用跨鏈交換協議 THORChain將竊取的資金兌換爲比特幣，THORChain 允許不同區塊鏈之間直接交換資產，例如將以太幣兌換爲比特幣。

根據 THORChain Explorer 的數據，3月5日的24小時交易量爲9300萬美元。該協議背後的開發者因此因助長朝鮮黑客組織的非法交易而遭到嚴厲批評。

來源：https://thorchain.net/dashboard

黑客組織Lazarus Group 是什麼？

Lazarus Group 是全球最活躍的黑客組織之一，該組織名字源自聖經中死而復生的拉撒路，象徵起死回生的力量。

Lazarus Group 也被稱爲「Guardians」、「Peace」或「Whois Team」，其成員身份和規模不明，但據稱由朝鮮政府直接控制。最初爲網絡犯罪團夥，隨着攻擊規模和復雜度的提升，現已被認定爲高級持續性威脅（APT）組織。

不同機構對其有不同稱呼，美國國土安全部稱其爲「Hidden Cobra」，微軟則稱其爲「ZINC」或「Diamond Sleet」。根據前朝鮮情報官員金國松透露，該組織在朝鮮內部被稱爲414聯絡辦公室。

美國司法部指出，Lazarus Group 是朝鮮政府的一部分，其目標不僅是破壞全球網絡安全，還通過網絡犯罪規避國際制裁、獲取非法資金。借助低成本、高收益的網絡攻擊，朝鮮可通過小型黑客團隊對全球金融及關鍵基礎設施構成嚴重威脅，特別是針對韓國和西方國家。

來源：https://en.wikipedia.org/wiki/Lazarus_Group

團隊組織

Lazarus Group 主要由兩個分支組成。

其中之一是 BlueNorOff（又稱 APT38、星辰千裏馬、BeagleBoyz 等）。BlueNorOff 以金融網絡犯罪爲主，主要通過僞造 SWIFT 指令進行非法資金轉移。該組織的攻擊對象涵蓋全球多個國家的金融機構，非法所得資金被用於支持朝鮮的導彈和核武器計劃。

BlueNorOff 最著名的攻擊事件發生在2016年，該組織試圖通過 SWIFT 網絡竊取近10億美元資金，但由於一條指令的拼寫錯誤，紐約聯邦儲備銀行阻止了部分資金轉移。BlueNorOff 使用多種攻擊手段，包括網絡釣魚、後門植入、漏洞利用和惡意軟件（如 DarkComet、WannaCry 等）。此外，該組織還與其他犯罪黑客團夥合作，擴大非法資金流轉渠道，進一步加劇全球網絡安全風險。

另一個分支是 Andariel（又稱「沉默的千裏馬」、「黑暗首爾」、「來福槍」和「瓦松尼特」等）。該組織專門針對韓國進行網絡攻擊，並以其隱祕行動而著稱。根據美國陸軍2020年的報告，Andariel 約有1600名成員，負責網絡偵察、漏洞評估，並繪制敵方網絡結構，爲潛在攻擊做好準備。除了韓國，Andariel 還攻擊了其他國家的政府機構、關鍵基礎設施和企業。

來源：https://home.treasury.gov/news/press-releases/sm774

過往行動

Lazarus Group 多年來在全球範圍內發動了一系列網絡攻擊，從早期的 DDoS 攻擊（如 2009 年的特洛伊行動、2011 年的十日雨攻擊）逐步演變爲更復雜的黑客手段，包括數據擦除（2013 年黑暗首爾行動）、數據竊取（2014 年索尼影視入侵）和金融盜竊（2015 年起的銀行盜竊案件）。

自 2017 年起，該組織將重點轉向加密貨幣領域，攻擊交易所（如 Bithumb、Youbit、Atomic Walle、WazirXt）、跨鏈橋（Horizon Bridge）、鏈遊（Axie Infinity）等，累計竊取數十億美元。

近年，Lazarus 繼續擴展攻擊範圍，涉及醫療、網絡安全、在線賭場等領域，並在 2023 年造成約 3 億美元損失，佔全球黑客攻擊總損失的 17.6%。

來源：https://x.com/Cointelegraph/status/1894180646584516772

平台如何應對黑客攻擊

交易平台應對黑客攻擊的策略主要包括 預防、檢測、應急響應和恢復 四個方面：

1.預防措施（防患於未然）

強化安全架構：採用 冷熱錢包分離，將大部分資產存儲在離線冷錢包中，並使用 多重籤名（Multi-sig）進行授權。

嚴格的訪問控制：限制員工對敏感數據的訪問權限，採用 零信任（Zero Trust） 安全模型，防止內部人員作惡或被攻擊利用。

增強智能合約安全：對智能合約進行 安全審計，避免合約漏洞被利用（如重入攻擊、整數溢出等）。

多因素認證（MFA）：要求所有管理員和用戶啓用 2FA（雙因素認證），降低帳戶被盜風險。

DDoS 保護：採用 CDN 和反向代理 防止分布式拒絕服務攻擊（DDoS），確保平台可用性。

2. 實時檢測（快速發現攻擊）

異常交易監控：使用 AI 和機器學習 監測可疑交易模式，及時發現異常提款或巨額轉帳。

鏈上分析：與 區塊鏈情報公司（如 Chainalysis、Elliptic）合作，檢測 黑名單地址 並阻止非法資金流入。

日志審計：所有敏感操作（提現、權限變更等）記錄在日志中，並進行 實時審計。

來源：https://demo.chainalysis.com/demo/?utm_source=google&utm_medium=cpc&utm_campaign=dra-search-brand&utm_content=get-demo&utm_category=noram&utm_term=chainalysis&qgad=702159167230&qgterm=chainalysis&utm_source=google&utm_medium=cpc&utm_campaign={campaign}&utm_term=chainalysis&utm_content=702159167230&gad_source=1&gclid=CjwKCAiAiaC-BhBEEiwAjY99qK0c_Iugu2-SFVqWg0q5UXUihCvjldDkkoucrVBtrzXhAHApqOJpzhoC5zkQAvD_BwE

3. 應急響應（遭遇攻擊後的處理）

快速凍結可疑帳戶：發現異常提款時，立刻暫停相關帳戶 和資金轉移，阻止進一步損失。

通知合作方：及時聯系 其他交易所、區塊鏈安全公司、執法機構，追蹤被盜資產。

漏洞封堵：迅速分析攻擊路徑，修復漏洞，防止二次攻擊。

向用戶透明披露：第一時間發布公告，告知用戶事件詳情及補救措施。

4. 資產恢復（減少損失）

與執法機構合作：與國際執法部門（FBI、Interpol）及 區塊鏈追蹤機構 合作追回被盜資金。

保險賠付：部分交易所購買 黑客攻擊保險，可用於補償受損用戶。

設立應急基金：Gate.io 的 SAFU 基金，可在發生黑客攻擊時保護用戶資產。

例如，截至2025年3月5日，Gate.io的財政儲備爲103.28 億美元，充分展示了其在保障用戶資金方面的實力。

來源：https://www.gate.io/proof-of-reserves/?ch=GM_Reservesblock_20250122&utm_campaign=TR_eiQbOtWr&utm_content=&utm_medium=PR&utm_source=CH_l3hBY9KM&utm_term=
（2025年3月5日）

來源：https://www.gate.io/safu-user-assets-security-fund

交易平台應對黑客攻擊的關鍵在於 “預防爲主，檢測及時，應急高效，恢復有力”，通過 安全架構優化+鏈上分析+快速響應機制 最大限度保護用戶資產。

用戶如何保護資產安全

加密貨幣是完全數字化的，一旦丟失或被盜，通常無法通過傳統方式（如銀行）追回。因此，採取嚴格的安全措施至關重要。以下是保護加密資產的核心策略：

1.選擇安全的存儲方式

冷存儲：
使用硬體錢包（如 Ledger、Trezor）或紙錢包，離線存儲大部分資產，避免網絡攻擊。
注意：妥善保管硬體錢包，避免物理損壞或遺失。使用時務必審慎籤名，切勿盲目確認交易。

熱錢包：
僅用於存儲少量日常交易資金，避免存放大額資產。
選擇信譽良好的錢包（如 MetaMask、Trust），並定期更新軟件。

來源：https://metamask.io/

2.保護私鑰和助記詞

永不泄露：私鑰或助記詞是訪問資產的唯一憑證，絕不與任何人分享。

安全備份：手寫助記詞並存放於防火、防水的安全地點（如保險箱）。避免存儲在聯網設備上。

分拆存儲：可將助記詞分成幾部分，分別存放於不同地點，增加安全性。

3.帳戶與交易所安全

開啓雙重認證（2FA）：使用Google Authenticator等應用，避免短信2FA（易被劫持）。

使用強密碼：密碼長度不少於12位，包含大小寫、數字和符號，並定期更換。

分散存儲資產：不要將所有加密資產存放於同一交易所或錢包。

選擇安全交易所：使用DDoS防護、冷存儲等安全性高的平台，並及時提現大額資金至私有錢包。

關閉不必要的API訪問，防止因API漏洞導致資產被盜。

使用通行密鑰（Passkey）：只需在設備上確認身份驗證請求，無需輸入密碼，便可安全地登入應用或網站。

來源：https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&pli=1

4.防範網絡攻擊

謹防釣魚攻擊：訪問官網時仔細核對URL，不點擊陌生郵件、短信或社交媒體連結。

使用專用設備：考慮使用一臺僅用於加密貨幣交易的設備，避免下載不明軟件或訪問危險網站。

檢查轉帳地址：每次轉帳前確認地址無誤，防止惡意軟件篡改（剪貼板劫持）。

避免公共Wi-Fi：使用VPN保護數據，避免在公共網絡環境下進行交易。

來源：https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5.智能合約與DeFi安全

僅與可信的智能合約交互：選擇經過知名安全公司審計的合約。

小額測試交易：先進行小額測試，確保合約安全後再轉大額資金。

警惕高收益騙局：避免投資承諾“高回報”的DeFi、NFT或流動性挖礦項目。

來源：https://www.alchemy.com/best/blockchain-auditing-companies

6.長期安全策略與應急準備

使用多重籤名（Multisig）錢包：需要多把鑰匙授權交易，提高安全性，適用於高價值資產管理。

定期檢查資產與交易記錄：確保帳戶無異常活動。

法律與遺產規劃：考慮通過法律文件或信托，將加密資產納入遺產規劃，以防因私鑰丟失而造成不可挽回的損失。

保持低調：避免在社交媒體或公開場合炫耀加密資產，以免成爲黑客目標。

通過這些措施，可以大幅降低加密資產被盜的風險，確保資金安全。

來源：https://www.coindesk.com/tech/2020/11/10/multisignature-wallets-can-keep-your-coins-safer-if-you-use-them-right

結語

這一事件不僅對 Bybit 造成重大財務損失，也可能影響整個加密市場的信任度。未來，交易所、項目方和用戶都需要更加重視安全防護，尤其是在私鑰管理、多重籤名機制、智能合約審計等方面加強防御。

面對日益復雜的網絡威脅，全球監管機構預計將進一步強化對加密行業的安全要求。例如，FATF 正在推進針對跨鏈協議的反洗錢新規提案，旨在加強對多鏈交互與去中心化平台的監控。此外，美國 SEC 與歐盟監管機構可能加大對交易所安全標準的審查力度，並推動更嚴格的 KYC 與 AML 合規要求。

對於普通投資者而言，選擇安全性更高的平台、分散資產存儲、提升安全意識，才能在加密市場中更好地保護自身利益。