作者:Yohan Yun,Aaron Wood;編譯:鄧通,喜來(lái)順財(cái)經(jīng)
針對(duì) Bybit 的 14 億美元黑客攻擊不僅是加密貨幣歷史上最大的一次攻擊,也是對(duì)該行業(yè)危機(jī)管理能力的一次重大考驗(yàn),凸顯了自 FTX 崩潰以來(lái)該行業(yè)的成熟度。
2 月 21 日,朝鮮的 Lazarus Group 盜取了價(jià)值 14 億美元的以太坊和相關(guān)代幣,這一事件最初讓整個(gè)加密貨幣世界感到不寒而栗,但隨著行業(yè)團(tuán)結(jié)起來(lái)支持 Bybit 來(lái)管理后果,這一事件很快被平息。
讓我們來(lái)看看攻擊是如何展開(kāi)的,Bybit 如何應(yīng)對(duì),以及被盜資金的去向。
Bybit 黑客攻擊事件首先由鏈上偵探 ZachXBT 發(fā)現(xiàn),他警告平臺(tái)和交易所將與黑客攻擊相關(guān)的地址列入黑名單。
此后不久,Bybit 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Ben Zhou 證實(shí)了這一漏洞,并開(kāi)始提供有關(guān)此次入侵的最新消息和信息。
Chainalysis 的一份事后分析報(bào)告最初指出,Lazarus 實(shí)施了網(wǎng)絡(luò)釣魚(yú)攻擊以訪問(wèn)交易所的資金,但該分析后來(lái)更新為報(bào)告稱,黑客控制了 Safe 開(kāi)發(fā)人員的計(jì)算機(jī),而不是入侵 Bybit 的系統(tǒng)。
攻擊者設(shè)法“重新路由”了約 401,000 個(gè) ETH,在攻擊發(fā)生時(shí)價(jià)值 11.4 億美元,并通過(guò)中間錢包網(wǎng)絡(luò)轉(zhuǎn)移。
黑客利用復(fù)雜的錢包、交換和跨鏈轉(zhuǎn)賬網(wǎng)絡(luò)來(lái)隱藏資金。資料來(lái)源:Chainalysis
該交易所迅速向用戶保證其剩余的錢包是安全的,在確認(rèn)漏洞幾分鐘后,交易所宣布“所有其他 Bybit 冷錢包仍然完全安全。所有客戶資金都是安全的,我們的運(yùn)營(yíng)照常進(jìn)行,沒(méi)有任何中斷。”
黑客攻擊發(fā)生幾個(gè)小時(shí)后,客戶提款仍然開(kāi)放。Zhou在問(wèn)答環(huán)節(jié)表示,交易所當(dāng)時(shí)已批準(zhǔn)并處理了 70% 的提款請(qǐng)求。
去中心化金融平臺(tái) Ethena 告訴用戶,其收益穩(wěn)定幣 USDe 在黑客攻擊后仍然有償付能力。據(jù)報(bào)道,該平臺(tái)在 Bybit 上有 3000 萬(wàn)美元的金融衍生品敞口,但能夠通過(guò)其儲(chǔ)備基金彌補(bǔ)損失。
許多加密貨幣交易所都伸出援手幫助 Bybit。Bitget 首席執(zhí)行官 Gracy Chen 宣布,她的交易所已借給 Bybit 約 40,000 ETH(當(dāng)時(shí)約合 9500 萬(wàn)美元)。
Crypto.com 首席執(zhí)行官 Kris Marszalek 表示,他將指示公司安全團(tuán)隊(duì)提供幫助。
其他交易所和機(jī)構(gòu)開(kāi)始凍結(jié)與黑客攻擊有關(guān)的資金。Tether 首席執(zhí)行官 Paolo Ardoino 在 X 上發(fā)帖稱,該公司已凍結(jié)與黑客攻擊有關(guān)的 181,000 USDt。Polygon 首席信息安全官 Mudit Gupta 表示,Mantle 團(tuán)隊(duì)已從黑客手中追回約 4300 萬(wàn)美元的資金。
Zhou 在 X 上發(fā)布了一篇感謝信,提到了一些幫助 Bybit 的知名加密公司,包括 Bitget、Galaxy Digital、TON 基金會(huì)和 Tether。
Bybit 還宣布了一項(xiàng)賞金計(jì)劃,獎(jiǎng)勵(lì)高達(dá)追回資金的 10%,獎(jiǎng)金總額高達(dá) 1.4 億美元。
事件發(fā)生后,用戶提款導(dǎo)致交易所的總資產(chǎn)價(jià)值下降超過(guò) 53 億美元。
盡管提款出現(xiàn)擠兌,但交易所仍保持提款請(qǐng)求開(kāi)放,盡管有所延遲,Bybit 的獨(dú)立儲(chǔ)備證明審計(jì)師 Hacken 證實(shí),儲(chǔ)備仍超過(guò)負(fù)債。
與此同時(shí),區(qū)塊鏈蹤跡顯示,Lazarus 繼續(xù)將資金分拆到中介錢包中,進(jìn)一步混淆了資金的動(dòng)向。
例如,區(qū)塊鏈分析公司 Lookonchain 表示,Lazarus 已將價(jià)值近 3000 萬(wàn)美元的 10,000 ETH 轉(zhuǎn)移到一個(gè)名為“Bybit Exploiter 54”的錢包,開(kāi)始洗錢。
區(qū)塊鏈安全公司 Elliptic 寫(xiě)道,這些資金很可能被轉(zhuǎn)移到一個(gè)混幣器(一種隱藏區(qū)塊鏈交易之間聯(lián)系的服務(wù))中,盡管“由于被盜資產(chǎn)數(shù)量龐大,這可能具有挑戰(zhàn)性。”
區(qū)塊鏈分析師 ZachXBT 和 Nick Bax 均聲稱黑客能夠在非“了解您的客戶”加密貨幣交易所 eXch 上洗錢。ZachXBT 聲稱 eXch 洗錢了 3500 萬(wàn)美元,然后意外地將 34 ETH 發(fā)送到另一家交易所的熱錢包。
EXch 否認(rèn)為朝鮮洗錢,但承認(rèn)處理了“ByBit 黑客攻擊的一小部分資金”。
eXch 表示,這些資金“最終進(jìn)入了我們的地址 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123,這是一個(gè)孤立案例,也是我們交易所處理的唯一部分,我們將從中收取費(fèi)用用于公共利益”。
為了幫助識(shí)別參與該事件的錢包,Bybit 發(fā)布了黑名單錢包應(yīng)用程序編程接口 (API)。該交易所表示,該工具將幫助白帽黑客實(shí)施上述賞金計(jì)劃。
Bybit 還設(shè)法將其以太坊儲(chǔ)備恢復(fù)到黑客攻擊前的近一半,主要是通過(guò)事件發(fā)生后在場(chǎng)外交易中購(gòu)買現(xiàn)貨,但也包括從其他交易所借出的以太坊。
區(qū)塊鏈偵探繼續(xù)監(jiān)控與 Lazarus 相關(guān)的資金流向。Arkham Intelligence 在去中心化交易所 (DEX) 上觀察到與黑客相關(guān)的地址,試圖將竊取的加密貨幣交易為 Dai。
據(jù)報(bào)道,一個(gè)從 Bybit 收到部分被盜 ETH 的錢包與 Sky Protocol、Uniswap 和 OKX DEX 進(jìn)行了交互。據(jù)交易平臺(tái) LMK 稱,黑客成功交換了至少 364 萬(wàn)美元。
與 USDT 和 USDC 等其他穩(wěn)定幣不同,Dai 無(wú)法被凍結(jié)。
Zhou 宣布,Bybit 已“完全彌補(bǔ) ETH 缺口”——即補(bǔ)充黑客攻擊中損失的 14 億美元以太坊。他的聲明之后是一份第三方儲(chǔ)備證明報(bào)告。
Bybit 將其 Ether 儲(chǔ)備恢復(fù)到黑客攻擊前的水平。資料來(lái)源:Darkfost
Bybit 推出了一個(gè)專門的網(wǎng)站來(lái)宣傳其恢復(fù)工作,Zhou 在呼吁加密貨幣社區(qū)團(tuán)結(jié)起來(lái)對(duì)抗 Lazarus Group 的同時(shí)對(duì)其進(jìn)行了宣傳。該網(wǎng)站區(qū)分了那些提供幫助的人和那些據(jù)稱拒絕合作的人。
據(jù)報(bào)道,近 9500 萬(wàn)美元的資金被轉(zhuǎn)移到 eXch。來(lái)源:LazarusBounty
報(bào)告重點(diǎn)介紹了協(xié)助凍結(jié)被盜資金的個(gè)人和實(shí)體,并向他們頒發(fā)了 10% 的賞金,由舉報(bào)人和凍結(jié)資金的實(shí)體平分。
報(bào)告還指出,eXch 是唯一拒絕提供幫助的平臺(tái),聲稱其忽略了 1,061 份舉報(bào)。
美國(guó)聯(lián)邦調(diào)查局 (FBI) 證實(shí)了廣泛報(bào)道的懷疑,即朝鮮黑客實(shí)施了 Bybit 漏洞攻擊,并點(diǎn)名 TraderTraitor 組織,在網(wǎng)絡(luò)安全圈中,該組織更廣為人知的名字是 Lazarus 集團(tuán)。
在一份公共服務(wù)公告中,F(xiàn)BI 敦促私營(yíng)部門(包括節(jié)點(diǎn)運(yùn)營(yíng)商、交易所和橋梁)阻止來(lái)自與 Lazarus 關(guān)聯(lián)的地址的交易。
美國(guó)聯(lián)邦調(diào)查局 (FBI) 確定了 51 個(gè)與黑客攻擊有關(guān)的可疑區(qū)塊鏈地址,而網(wǎng)絡(luò)安全公司 Elliptic 則確定了超過(guò) 11,000 個(gè)中介機(jī)構(gòu)。
同時(shí),黑客攻擊后的調(diào)查發(fā)現(xiàn),被盜用的 SafeWallet 憑證導(dǎo)致了漏洞利用,而不是像之前報(bào)道的那樣通過(guò) Bybit 的基礎(chǔ)設(shè)施。
安全公司 TRM Labs 稱 Bybit 黑客洗錢的速度“特別令人擔(dān)憂”,據(jù)報(bào)道,截至 2 月 26 日,黑客通過(guò)中間錢包、加密貨幣兌換、跨鏈橋和 DEX 轉(zhuǎn)移了超過(guò) 4 億美元。TRM 還指出,大部分被盜收益都被兌換成了比特幣,這是一種通常與 Lazarus 有關(guān)的策略。大多數(shù)兌換后的比特幣仍被存放在原處。
與此同時(shí),Arkham Intelligence 發(fā)現(xiàn) Lazarus 已通過(guò)陷入困境的跨鏈協(xié)議 THORChain 轉(zhuǎn)移了至少 2.4 億美元的 ETH,將其兌換成比特幣。THORChain 的總兌換量在 48 小時(shí)內(nèi)激增至 10 億美元以上。
在阻止與朝鮮黑客有關(guān)的交易的投票被推翻后,THORChain 開(kāi)發(fā)商“Pluto”宣布立即退出該項(xiàng)目。與此同時(shí),Lookonchain 報(bào)道稱,黑客已經(jīng)洗白了 54% 的被盜資金。
Bybit 可能已經(jīng)能夠完全恢復(fù)其丟失的儲(chǔ)備,但這一事件引發(fā)了有關(guān)區(qū)塊鏈行業(yè)以及如何應(yīng)對(duì)黑客攻擊的更大問(wèn)題。
以太坊開(kāi)發(fā)人員 Tim Beiko 迅速駁回了要求回滾以太坊網(wǎng)絡(luò)以退還 Bybit 的呼吁。他說(shuō),這次黑客攻擊與以前的事件有著根本的不同,并補(bǔ)充說(shuō)“以太坊的互聯(lián)性質(zhì)以及鏈上<>鏈下經(jīng)濟(jì)交易的結(jié)算,使得這一問(wèn)題在今天變得棘手。”
Bybit 漏洞的后果表明 Lazarus Group 在轉(zhuǎn)移基于區(qū)塊鏈的資金方面變得更加高效。TRM 實(shí)驗(yàn)室的調(diào)查人員懷疑,這可能表明朝鮮的加密基礎(chǔ)設(shè)施有所改善,或者地下金融網(wǎng)絡(luò)吸收非法資金的能力有所增強(qiáng)。
隨著區(qū)塊鏈平臺(tái)鎖定的價(jià)值不斷增長(zhǎng),攻擊的復(fù)雜性也在不斷提高。該行業(yè)仍然是朝鮮國(guó)家黑客的主要目標(biāo),據(jù)報(bào)道,他們將其收入用于資助其武器計(jì)劃。
喜來(lái)順財(cái)經(jīng)
