区块链分析公司 Chainalysis 于 2 月 24 日发布了一份详细报告，将发生在位于迪拜的加密货币交易所 Bybit 的 14.6 亿美元加密货币盗窃事件与朝鲜黑客联系起来。

此次攻击发生在 2 月 21 日，是加密货币历史上最大的一次，突显了国家赞助的网络犯罪分子日益复杂的技术。

Chainalysis 揭示攻击执行情况

根据 Chainalysis 的说法，这次漏洞利用遵循了与朝鲜民主主义人民共和国 (DPRK) 相关的常见战术。

在我们最新的博客中，我们探讨了约 15 亿美元的 Bybit 漏洞是如何发生的，攻击者与 DPRK 的联系，以及我们如何与 Bybit 和执法部门合作以帮助追回资金：https://t.co/MOh0JQZd9V pic.twitter.com/iIwF2xm1b0

— Chainalysis (@chainalysis) 2025 年 2 月 24 日

黑客使用钓鱼活动渗透 Bybit 的冷钱包签名者，欺骗他们批准恶意交易。这使得攻击者能够更改多签名安全设置并控制资金。

一旦进入系统，他们拦截了看似是从 Bybit 的以太坊冷钱包向热钱包的标准转账。相反，他们将大约 401,000 个以太坊（ETH）— 价值近 14 亿美元 — 转移到控制中的地址。

清洗被盗加密货币

在确保资金之后，黑客采用了复杂的洗钱策略。

Chainalysis 报告称，他们通过中介钱包转移被盗资产，使追踪变得更加困难。然后这些罪犯使用去中心化交易所（DEX）、跨链桥和无 KYC 的即时交换服务将 ETH 转换为比特币（BTC）和 DAI（一种缺乏冻结功能的稳定币）。

大部分被盗资产仍处于休眠状态，或者说是非活动状态，这一做法常常被与朝鲜有关的黑客用来避免立即被发现。通过等待审查减弱，他们增加了成功转移资金的机会。

行业对 Bybit 黑客事件的反应

区块链调查员、分析公司、加密货币交易所和网络协议正共同努力追踪和追回被盗资金。

其中一项努力包括跨链交易协议 Chainflip，该协议正在实施紧急软件升级，以防止黑客转移与 Bybit 漏洞相关的资金。

在 2 月 24 日，Chainflip 宣布了“1.7.10”升级，旨在阻止非法交易，并保护流动性提供者免受被盗资金的影响。

在 2 月 22 日，Bybit 也承诺将弥补客户损失，并启动了一项赏金计划，提供最多可达追回金额 10% 的奖励，奖励给予帮助追回被盗资金的人。

与 Tether、Circle、Tron 等团队合作，Bybit 在一天内成功冻结了超过 4000 万美元的被盗资产。

协调努力使我们在短短一天内冻结了 4289 万美元。 感谢以下团队的迅速行动：@Tether_to：标记地址并冻结 18.1 万 USDT @THORChain：阻止黑名单 @ChangeNOW_io：冻结 34 ETH @FixedFloat：冻结 12 万 USDC 和 USDT…

— Bybit (@Bybit_Official) 2025 年 2 月 23 日

朝鲜扩大的加密攻击

Chainalysis 于 2024 年 12 月的另一份报告指出，朝鲜网络犯罪分子近年来显著升级了其加密盗窃行动。

在 2023 年，他们在 20 起事件中盗取了 6.605 亿美元。到 2024 年，这一数字增加了一倍多，达到 13.4 亿美元，共发生 47 起攻击。

Bybit 的漏洞事件本身就超过了 2024 年整个年度朝鲜被盗资金的总和，成为与该政权持续网络战争相关的里程碑事件。

根据 Chainalysis 的说法，与朝鲜相关的黑客已经建立了他们高度先进和持久的网络攻击声誉，频繁使用恶意软件、社会工程和加密货币盗窃来资助国家赞助的活动。

Chainalysis 还注意到另一个令人担忧的趋势：朝鲜黑客对加密平台的攻击越来越频繁，同时执行的重大漏洞也在增加。

在 2024 年，各种规模的攻击变得更加频繁，涉及超过 1 亿美元盗窃的事件比过去几年要多得多。这一变化表明，朝鲜正在提升其攻击策略并加快其行动，使其网络威胁愈加难以应对。