朝鲜黑客如何喜提14亿ETH?

道友且留步 2025-02-24 14:38:32

Bybit交易所遭受黑客攻击,损失了价值14亿美元的资产,这些资产主要是ETH,也是唯二在美股有ETF的区块链资产。

经过链上数据追踪确定本次行动是朝鲜黑客组织Lazarus Group做的。这笔钱对朝鲜来说是笔巨款,因为朝鲜每年的出口额只有5亿美元左右,中朝贸易就占了99%,朝鲜主要是出口头发,我们加工做成假发后出口欧美,剩下的一半是矿产和高丽参。

黑掉的这14亿美元相当于朝鲜3年的出口总额!

那这笔钱是如何被黑的,而后续又将如何变现?

Lazarus Group 是朝鲜的一个黑客组织,长期通过网络攻击盗取资金,尤其针对加密货币行业进行大规模盗窃。此次针对 Bybit 的攻击是该组织迄今为止最大规模的一次行动。

1、攻击者首先通过高级钓鱼技术和社交工程学手段,获取了 Bybit 内部员工的凭证。

可能包括伪造招聘信息、发送钓鱼邮件或伪装成可信实体,诱骗员工泄露凭证或安装恶意软件。这些凭证使攻击者能够绕过初步的安全协议,进入交易所的内部系统。

2、由于Bybit 使用了多重签名(multisig)机制来保护其 ETH 冷钱包,理论上需要多个签名者批准交易才能执行,以提高安全性。

然而,攻击者正是利用了 Bybit 多重签名机制在用户界面和交易验证环节的漏洞。通过伪造用户界面(UI),欺骗签名者以为他们正在批准合法交易,实际上却在暗中更改了交易的智能合约逻辑。

3、在 Bybit ETH 冷钱包向热钱包转账的过程中,攻击者伪造了签名界面。签名者看到的地址和交易信息看似正常,但实际的签名消息却被篡改,允许攻击者控制钱包并将资金转移到未知地址。

这一手法利用了签名者对界面的信任,成功绕过了多重签名机制的保护。

4、攻击者成功盗取 401,347 ETH 后,迅速将资金通过多个混淆层进行转移。目前已查明14亿市值的eth被偷后已经分转到51个不同的匿名地址。

这里面最核心的步骤是朝鲜黑客要黑掉第一个签署人的电脑,我不知道是怎么做到的,如果没有内鬼配合,很难想象纯靠互联网就能定位攻击。内鬼有可能是潜伏入职的码农,也有可能是被收买的工作人员。

.........

事件爆发后,区块链分析公司 Arkham Intelligence 和安全专家 ZachXBT 等通过链上数据追踪,确认了攻击者的身份。

ZachXBT 提供了详细的证据,包括攻击前的测试交易、关联钱包活动和时间模式分析,这些都与 Lazarus Group 先前的攻击行为相符。

安全专家 ZachXBT 还发现,Bybit 攻击与2025年1月的 Phemex 交易所攻击存在直接关联,攻击者使用了相同的钱包地址和洗钱模式,进一步证实了 Lazarus Group 的参与。

可能的资金变现途径:

混币与分散转移利用混币器(或称混合服务)来“洗白”被盗资产,即将资金通过多个地址进行拆分和重组,混淆资金来源和流向。这样可以降低资金被追踪的风险。

转换为稳定币或隐私币利用去中心化交易所(DEX)或场外(OTC)市场,将ETH转换为稳定币(如USDT、USDC)或隐私性更强的加密货币(如Monero)。稳定币更容易在后续阶段转换成法币,而隐私币则进一步增加追踪难度。

跨链桥接操作利用跨链桥服务,将ETH从以太坊链转移至监管较宽松或追踪难度更高的其它区块链(如BSC、Polygon等),以利用各链间监管和流动性上的差异,进行进一步的洗钱和变现操作。

场外大宗交易(OTC)通过与OTC台或非公开交易平台合作,黑客可以分批次将大量资产卖给对冲基金或灰色市场参与者,从而将加密资产迅速转换为法币,同时避免在公开市场上引起异常波动。

目前Bybit希望行业内更多人协助跟踪和围剿这笔巨款,阻止对方变现,朝鲜那边倒也不着急,他们短期内洗不了,但是可以放长线慢慢洗。

这14亿的eth不能直接卖成美元,那样会被追踪冻结的,他们能操作的具体路径大概是分批把eth换成btc,然后再化整为零,弄成成千上万的小账户,从一些亚洲的交易平台上卖出。这需要大量伪造kyc的账户,洗钱的进度会很慢很慢,可能要5-10年。

...........

由于数字货币的本身特性,这笔资金盗走并分散转移后,想要被全部冻结追回的可能性微乎其微。此次被盗事件,几乎将Bybit交易所长期积累的安全声誉摧毁,也面临大量的提现挤兑,虽然目前已经度过了挤兑风波,但后续不可避免的会面对交易者因为担心资金安全风险而持续流失。

0 阅读:35