本文擷取自資安人
加密貨幣交易所Bybit於2月21日證實,一名駭客透過「複雜的攻擊手法」成功竊取該交易所知冷錢包(離線錢包)價值超過15億美元的加密貨幣,創下史上最大單筆加密貨幣竊案紀錄。
根據Bybit的說明,此事件發生在UTC時間2025年2月21日中午12:30左右,當時正在進行例行性的資金轉移作業。Bybit在社群媒體上發文表示,當Bybit的ETH多重簽名冷錢包在執行向熱錢包轉帳時,這筆交易遭到操縱。攻擊者透過精心設計的介面欺騙,顯示正確的地址但暗中修改了智慧合約邏輯。
技術分析
Check Point Research表示,這次攻擊揭示了一個新的攻擊模式,其中攻擊者透過Gnosis Safe Protocol的execTransaction功能操縱合法交易。這說明即使是多重簽名冷錢包,如果簽署者受到欺騙或遭到入侵,也無法確保安全,凸顯了供應鏈和用戶介面操縱攻擊的日益複雜化。根據區塊鏈分析顯示,攻擊者已將竊取的約401,346顆ETH中的10,000顆分散轉移至48個不同地址,顯示資金正在進行洗錢過程。竊取的資產包括ETH和stETH,總價值超過15億美元。
調查與歸屬
資安研究機構TRM Labs與Elliptic的調查顯示,此次攻擊極可能是由北韓駭客組織Lazarus Group所為。TRM Labs表示,他們是基於「Bybit駭客控制的地址與先前北韓竊案關聯地址之間存在大量重疊」而做出此判斷。獨立研究員ZachXBT也指出,他們已經在區塊鏈上發現此次Bybit攻擊與上個月Phemex交易所遭駭事件有關聯。根據Check Point Research的分析,這次攻擊凸顯駭客手法已進入新階段,尤其是在用戶介面操縱方面的技術提升。Check Point解釋,「攻擊者不只是利用協議機制的漏洞,還透過操縱介面進行高階社交工程,成功突破了重要的機構級多重簽名設置。」
影響與回應
Bybit執行長Ben Zhou強調,交易所的其他冷錢包均安全無虞,客戶資金也未受影響。「即使這筆損失無法追回,Bybit仍具備償付能力,所有客戶資產都有1:1的準備金支持,我們有能力承擔這筆損失。」根據區塊鏈分析公司Chainalysis的資料,北韓駭客組織在2024年透過47次加密貨幣攻擊,總共竊取了約13.4億美元,佔該年度所有非法獲取加密貨幣的61%。此次Bybit事件的損失金額已超過先前Ronin Network(6.24億美元)、Poly Network(6.11億美元)和BNB Bridge(5.86億美元)等重大事件。
目前Bybit已向相關執法單位報案,並與外部區塊鏈鑑識專家合作調查此事件。公司也歡迎具有相關專業的團隊協助追蹤被盜資金。