Bybit交易所遭受黑客攻击，损失了价值14亿美元的资产，这些资产主要是ETH，也是唯二在美股有ETF的区块链资产。

经过链上数据追踪确定本次行动是朝鲜黑客组织Lazarus Group做的。这笔钱对朝鲜来说是笔巨款，因为朝鲜每年的出口额只有5亿美元左右，中朝贸易就占了99%，朝鲜主要是出口头发，我们加工做成假发后出口欧美，剩下的一半是矿产和高丽参。

黑掉的这14亿美元相当于朝鲜3年的出口总额！

那这笔钱是如何被黑的，而后续又将如何变现？

Lazarus Group 是朝鲜的一个黑客组织，长期通过网络攻击盗取资金，尤其针对加密货币行业进行大规模盗窃。此次针对 Bybit 的攻击是该组织迄今为止最大规模的一次行动。

1、攻击者首先通过高级钓鱼技术和社交工程学手段，获取了 Bybit 内部员工的凭证。

可能包括伪造招聘信息、发送钓鱼邮件或伪装成可信实体，诱骗员工泄露凭证或安装恶意软件。这些凭证使攻击者能够绕过初步的安全协议，进入交易所的内部系统。

2、由于Bybit 使用了多重签名（multisig）机制来保护其 ETH 冷钱包，理论上需要多个签名者批准交易才能执行，以提高安全性。

然而，攻击者正是利用了 Bybit 多重签名机制在用户界面和交易验证环节的漏洞。通过伪造用户界面（UI），欺骗签名者以为他们正在批准合法交易，实际上却在暗中更改了交易的智能合约逻辑。

3、在 Bybit ETH 冷钱包向热钱包转账的过程中，攻击者伪造了签名界面。签名者看到的地址和交易信息看似正常，但实际的签名消息却被篡改，允许攻击者控制钱包并将资金转移到未知地址。

这一手法利用了签名者对界面的信任，成功绕过了多重签名机制的保护。

4、攻击者成功盗取 401,347 ETH 后，迅速将资金通过多个混淆层进行转移。目前已查明14亿市值的eth被偷后已经分转到51个不同的匿名地址。

这里面最核心的步骤是朝鲜黑客要黑掉第一个签署人的电脑，我不知道是怎么做到的，如果没有内鬼配合，很难想象纯靠互联网就能定位攻击。内鬼有可能是潜伏入职的码农，也有可能是被收买的工作人员。

.........

事件爆发后，区块链分析公司 Arkham Intelligence 和安全专家 ZachXBT 等通过链上数据追踪，确认了攻击者的身份。

ZachXBT 提供了详细的证据，包括攻击前的测试交易、关联钱包活动和时间模式分析，这些都与 Lazarus Group 先前的攻击行为相符。

安全专家 ZachXBT 还发现，Bybit 攻击与2025年1月的 Phemex 交易所攻击存在直接关联，攻击者使用了相同的钱包地址和洗钱模式，进一步证实了 Lazarus Group 的参与。

混币与分散转移利用混币器（或称混合服务）来“洗白”被盗资产，即将资金通过多个地址进行拆分和重组，混淆资金来源和流向。这样可以降低资金被追踪的风险。

转换为稳定币或隐私币利用去中心化交易所（DEX）或场外（OTC）市场，将ETH转换为稳定币（如USDT、USDC）或隐私性更强的加密货币（如Monero）。稳定币更容易在后续阶段转换成法币，而隐私币则进一步增加追踪难度。

跨链桥接操作利用跨链桥服务，将ETH从以太坊链转移至监管较宽松或追踪难度更高的其它区块链（如BSC、Polygon等），以利用各链间监管和流动性上的差异，进行进一步的洗钱和变现操作。

场外大宗交易（OTC）通过与OTC台或非公开交易平台合作，黑客可以分批次将大量资产卖给对冲基金或灰色市场参与者，从而将加密资产迅速转换为法币，同时避免在公开市场上引起异常波动。

目前Bybit希望行业内更多人协助跟踪和围剿这笔巨款，阻止对方变现，朝鲜那边倒也不着急，他们短期内洗不了，但是可以放长线慢慢洗。

这14亿的eth不能直接卖成美元，那样会被追踪冻结的，他们能操作的具体路径大概是分批把eth换成btc，然后再化整为零，弄成成千上万的小账户，从一些亚洲的交易平台上卖出。这需要大量伪造kyc的账户，洗钱的进度会很慢很慢，可能要5-10年。

...........

由于数字货币的本身特性，这笔资金盗走并分散转移后，想要被全部冻结追回的可能性微乎其微。此次被盗事件，几乎将Bybit交易所长期积累的安全声誉摧毁，也面临大量的提现挤兑，虽然目前已经度过了挤兑风波，但后续不可避免的会面对交易者因为担心资金安全风险而持续流失。