图片： Shutterstock

加密货币交易所 Bybit 遭黑客攻击后，其首席执行官Ben Zhou周一表示，已补足几天前被盗的 14 亿美元以太币。

Ben Zhou在推特上称，一项新的储备证明审计将通过默克尔树验证系统确认客户资产已恢复到 1：1 的比例。

区块链分析公司 Lookonchain 估计，Bybit 通过贷款、大户存款和直接购买等方式，获得了约 446,870 枚以太币，价值 12.3 亿美元。这一金额几乎覆盖了被指为Lazarus Group实施的黑客攻击中被盗资金的 88%。TRM Labs 表示：“黑客在一天内偷走的资金几乎是他们 2024 年全年盗窃金额的两倍。”

Lookonchain 追踪到，一个与 Bybit 相关的钱包通过场外交易，从加密投资公司 Galaxy Digital、FalconX 和 Wintermute 购买了 157,660 枚以太币，价值 4.378 亿美元。另一个钱包则在中心化和去中心化交易所购买了价值约 3.04 亿美元的以太币。

此次 14 亿美元的盗窃案是迄今为止最大的加密货币黑客攻击事件，占去年所有被盗数字资产的 60%。总部位于迪拜的加密货币平台在遭受攻击后，客户提现量激增，周六达到 53 亿美元的峰值。储备证明审计机构 Hacken 表示，Bybit 的资产仍超过负债，确保用户资金仍有足额保障。

Checkpoint 在一篇博客中称，Bybit 遭黑客攻击 “标志着攻击手段进入了一个新阶段，其特点是采用了先进的用户界面操纵技术”。攻击者并非仅仅针对协议漏洞，而是利用巧妙的社会工程手段欺骗用户，导致一个主要机构的多重签名设置被攻破。

黑客利用了 Gnosis Safe 多重签名系统中的漏洞。Gnosis Safe 不依赖链上投票，而是依赖外部生成的签名，这使其容易受到用户界面操纵、恶意软件和未经授权签名的攻击。攻击者以多重签名签署者为目标，可能使用了网络钓鱼、恶意软件或供应链攻击手段来获取他们设备的访问权限。受害者在不知情的情况下与模仿可信提供商的虚假用户界面进行交互，批准了一笔交易，从而让攻击者控制了冷钱包。Checkpoint 的研究人员称，攻击者利用被盗密钥对恶意合约执行委托调用，修改合约行为，并将资金转移到自己的地址。这绕过了多重签名保护，且没有直接利用智能合约漏洞。

研究人员表示，这次攻击证明，如果签名者可能被攻破，多重签名并非万无一失；如果攻击者能操纵用户所见内容，冷钱包本质上也不安全；供应链和用户界面操纵攻击正变得越来越高级。为防止未来再次发生此类攻击，他们建议行业采用端到端的交易验证，因为仅依靠人为决策已不再足够。

区块链安全公司 Elliptic 表示，黑客可能会使用混币器来掩盖交易踪迹，但此次盗窃金额巨大，这可能会使该过程更具挑战性。Lazarus Group遵循一种可预测的洗钱模式，首先将被盗代币换成以太币等原生资产。黑客目前处于 “分层” 阶段，这是一个旨在隐藏被盗资金的过程。这包括通过多个钱包转移资产，使用跨链桥在不同区块链之间转移资金，在去中心化交易所交换资产，以及使用 Tornado Cash 等混币器。

Elliptic 称，被盗资金在攻击发生后的两小时内被分散到 50 个钱包中，每个钱包持有约 10,000 枚以太币。至少 10% 的资产已经被转移。据称，尽管 Bybit 直接要求阻止交易，但有一家未具名的服务机构仍在协助洗钱过程。以匿名交易闻名的加密货币交易所 eXch 被指控处理了 Bybit 被盗的数千万资金，该交易所否认了这一指控，同时承认处理了 “一小部分资金”。

Chainalysis 报告称，Lazarus 在 2020 年至 2023 年间主要通过混币器和点对点平台洗钱超过 2 亿美元，随着犯罪分子改进洗钱方法，他们正转向使用跨链桥。

Bybit 已向 “网络安全和加密货币分析领域的顶尖人才” 寻求帮助，以追回被盗资金，并承诺提供追回金额 10% 的奖励。如果全部被盗资金都被追回，奖金总额可能达到 1.4 亿美元。

DefiLlama 的数据显示，在撰写本报告时，Bybit 持有总计 109 亿美元的资产。此次攻击最初引发了以太币价格的急剧下跌，在 7 小时内从 2831 美元跌至 2629 美元，跌幅达 7%。CoinGecko 的数据显示，此后以太币价格已出现反弹。