2025年2月21日,加密貨幣交易所Bybit遭遇大規模安全漏洞,約15億美元以太坊資產被盜,成為歷史上最大的單次盜竊案。黑客提前部署惡意智能合約,通過偽裝交易界面侵入多簽系統,誘導簽名者執行非法指令,最終控製冷錢包並將資產轉移。資金洗錢主要分為兩個階段,攻擊者通過不同手段將被盜資金兌換成其他加密貨幣,並逐步清洗。該事件引發OTC群體的凍結危機,加密行業面臨嚴峻挑戰,需提高警惕以防止未來損失。
2025年221日,加密貨幣交易所bybit遭遇了一起大規模安全漏洞事件,導致其以太坊冷錢包中的約15億美元資產被盜。此事件被認為是加密貨幣歷史上金額最大的單次盜竊案,超過了此前如poly網絡(2021年,6.11億美元)和ronin網絡(2022年,6.2億美元(6.2億美元),對行業造成了衝擊性的影響。,對行業造成了衝擊性的影響。,對行業造成了衝擊性的影響。,對行業造成了衝擊性的影響。
本文旨在對黑客事件與其資金清洗手法進行介紹的前提下,警示在未來若干個月內,即將出現針對otc群體與
盜竊經過
根據bybit ben zhou的描述以及bitrace的初步調查,盜竊過程如下::
攻擊準備:黑客在事發前至少三天(即2月19日)部署了一個惡意智能合約(地址:0xBDD077F651EBE7B3CE16FE5F2B025BE2969516),為後續攻擊埋下伏筆。
入侵多簽系統:bybit的以太坊冷錢包採用多重簽名機制,通常需要多個授權方簽名才能執行交易。黑客通過未知手段侵入了管理多簽錢包的電腦,可能是通過偽裝的界面或惡意軟件。 ,可能是通過偽裝的界面或惡意軟件。
偽裝交易:在221日,bybit計劃將冷錢包中的eTh轉移至熱錢包以滿足日常交易需求。黑客利用這一時機,將交易界面偽裝成正常操作,誘導簽名者確認了一條看似合法的交易。然而,簽名實際執行的是一條更改冷錢包智能合約邏輯的指令。 ,簽名實際執行的是一條更改冷錢包智能合約邏輯的指令。
資金轉移:指令生效後,黑客迅速控制了冷錢包,將當時價值約,15埃克:0x4766666FAB8BD0AC7003BCE3BCE3BCE3BCE3F5C35853835383F09486E2),資金被分散至多個錢包並開始,資金被分散至多個錢包並開始,資金被分散至多個錢包並開始洗錢流程。
洗錢手法
資金的清洗大致可以分為兩個階段:
第一個階段是早期的資金拆分階段,攻擊者迅速將eTh質押憑證代幣兌換為
正是在這個階段,攻擊者試圖將,15000甲基兌換成,行業進而挽回了這部分損失。 ,行業進而挽回了這部分損失。 ,行業進而挽回了這部分損失。
第二個階段是資金清洗工作。攻擊者會將已經獲得的eth通過中心化或去中心化的行業基礎設施進行轉移通過中心化或去中心化的行業基礎設施進行轉移兌換,部分協議則被用於資金跨鏈轉移。 ,部分協議則被用於資金跨鏈轉移。
截至目前,已經有大量被盜資金被兌換為btc,doge sol sol sol 1 layer1代幣進行轉移,甚至發行memecoin或將資金轉入交易所地址進行資金混淆。
bitrace正在對被盜資金相關地址進行監控追踪,這部分威脅信息會在bitracepro以及detrust中同步推送,防止用戶不慎收取被盜資金。 ,防止用戶不慎收取被盜資金。
前科分析
對資金鍊路中的0x457進行分析發現,該地址與發生在2024年10月bingx交易所被盜事件與2025年1月的1月的Phemex交易所被盜事件有關,表明這三起攻擊事件的背後主謀為,表明這三起攻擊事件的背後主謀為同一個實體。
結合其高度工業化的資金清洗手法與攻擊手段,部分區塊鏈安全從業者將此事件歸咎為臭名昭著的黑客組織拉撒路,後者在過去若干年時間內,對加密行業的機構或基礎設施發起了多次網絡攻擊,並非法攫取價值數十億美金的加密貨幣。 ,並非法攫取價值數十億美金的加密貨幣。
凍結危機
Bitrace在過去數年的調查過程中,發現該組織除了使用無許可的行業基礎設施進行資金清洗外,還會大量使用中心化平台進行傾銷,這直接導致大量故意或非故意收取贓款的交易所用戶賬戶被風控,otc商與支付機構的業務地址被泰達凍結。
2024年,日本加密貨幣交易所dmm被拉撒路攻擊泰達凍結,價值超過2900萬美金被鎖定無法轉移;
2023年,poloniex被攻擊,攻擊者疑似拉撒路集團或者用於存放業務資金的交易所賬戶被風控,對業務活動造成巨大影響。 ,對業務活動造成巨大影響。
總結
頻發的黑客攻擊事件已經對我們行業造成了巨大的損失,而後續的資金清洗活動也污染了更多個人與機構地址,對這些無辜者與潛在的受害者而言,更應當在業務活動中關注這些威脅資金,防止自身受到影響。 ,防止自身受到影響。
資訊來源:由0x資訊編譯自互聯網。版權歸作者所有,未經許可,不得轉載!