文章來源:Elliptic��;編譯:喜來順財經xiaozou
2025年2月21日�,總部位于迪拜的加密貨幣交易所Bybit遭遇了約14.6億美元的加密資產被盜事件����。初步報告顯示,攻擊者使用了惡意軟件誘騙交易所批準了將資金轉移至竊賊賬戶的交易。
這是迄今為止規模最大的加密貨幣盜竊案,遠超2021年Poly Network被盜的6.11億美元(且該案中大部分資金最終被黑客歸還)���。事實上,這幾乎可以確定是有史以來最大規模的單一盜竊案,此前該紀錄的保持者還是薩達姆·侯賽因��,他在2003年伊拉克戰爭前夕從伊拉克中央銀行盜取了10億美元����。
Elliptic公司分析了多種因素,包括對被盜加密資產洗錢路徑的分析,判斷此次Bybit盜竊案的幕后黑手是朝鮮的Lazarus集團�����。自20
17年以來�����,與朝鮮有關的黑客已竊取了超過60億美元的加密資產����,據稱這些資金被用于該國的彈道導彈計劃�����。
Lazarus集團已發展出強大而復雜的攻擊能力,不僅能入侵目標組織竊取加密資產���,還能通過數千筆區塊鏈交易清洗贓款。盜竊發生后��,Elliptic與Bybit���、加密貨幣服務提供商及其他調查人員全天候合作��,追蹤被盜資金并阻止其變現�����。作為全球領先的加密資產交易和錢包篩查解決方案提供商,Elliptic的軟件正在向全球客戶發出警示�,詢問他們是否收到了此次盜竊的贓款�。這已直接導致部分從Bybit被盜的資金被凍結���。
Lazarus集團的洗錢過程通常遵循一個典型模式���。第一步是將所有被盜的代幣兌換為“原生”區塊鏈資產,如ETH����。這是因為代幣有發行方��,在某些情況下可以“凍結”包含被盜資產的錢包,而ETH或比特幣則沒有中央機構可以凍結�����。
這正是Bybit盜竊案發生后的幾分鐘內發生的情況�,數億美元的被盜代幣(如stETH和cmETH)被兌換為ETH����。攻擊者使用去中心化交易所(DEXs)完成這一操作,可能是為了避免在使用中心化交易所洗錢時可能遇到的資產凍結情況�。
洗錢過程的第二步是對被盜資金進行“分層”�����,以試圖掩蓋交易路徑。區塊鏈的透明性意味著這些交易路徑可以被追蹤��,但這些分層策略會使追蹤過程復雜化����,為洗錢者爭取寶貴的變現時間。分層過程可以采取多種形式����,包括:
通過大量加密貨幣錢包轉移資金
使用跨鏈橋或交易所將資金轉移到其他區塊鏈
使用DEXs���、代幣交換服務或交易所在不同加密資產之間切換
使用“混幣器”���,如Tornado Cash或Cryptomixer
Lazarus集團目前正處于洗錢的第二階段����。盜竊發生后的兩小時內�����,被盜資金被發送到50個不同的錢包���,每個錢包持有約10,000 ETH����。這些錢包正在被系統性地清空——截至UTC時間2月23日晚上10點�����,10%的被盜資產(現價值1.4億美元)已從這些錢包中轉移。
一旦資金從這些錢包中轉移,它們將通過各種服務進行洗錢���,包括DEXs、跨鏈橋和中心化交易所。然而����,一個名為eXch的加密貨幣交易所已成為此次洗錢的主要的自愿協助者�。eXch以其允許用戶匿名交換加密資產而聞名�����,這使其被用于交換來自犯罪活動的數億美元加密資產�,包括朝鮮實施的多次盜竊�。自黑客攻擊以來,價值數千萬美元的Bybit被盜加密資產已通過eXch進行交換。盡管Bybit直接提出請求�����,但eXch仍拒絕阻止這一活動���。
被盜的ETH正在通過eXch和其他服務逐步轉換為比特幣�����。如果遵循以往的洗錢模式���,我們可能會看到接下來使用混幣器進一步混淆交易路徑����。然而��,由于被盜資金規模巨大�����,這可能具有一定挑戰性。
朝鮮的Lazarus集團是現有最“專業”且資源最豐富的加密資產洗錢者,他們不斷調整技術以逃避被盜資產被識別和扣押�。自Bybit盜竊案發生后的幾分鐘起���,Elliptic團隊就與Bybit�����、客戶及其他調查人員全天候合作,追蹤這些資金并阻止朝鮮政權從中獲益���。
喜來順財經
