Bybit 15億美元黑客事件詳解：黑客如何入侵冷錢包，以太坊有冇被拖累？

史上最大型加密貨幣盜竊案！塞舌爾加密交易所 Bybit於2025年2月21日損失約15億美元ETH ，肇因於與北韓有關的黑客精密攻擊。

Bybit行政總裁周兵已證實事件，事件標誌住針對加密貨幣產業的網絡犯罪進一步升級，亦引發對數碼資產安全性的重要疑問。

以下會深入分析是次黑客活動，包括所用技術、區塊鏈分析角色、Lazarus集團參與，以及對整個加密貨幣生態圈的影響。

Bybit：加密市場的重要玩家

Bybit於2018年成立，總部設於塞舌爾，以交易量高、產品多元著稱，包括即時買賣加密貨幣、槓桿合約、鎖倉賺獎勵等。

交易所介面簡單易用，又以多重簽名冷錢包（multi-sig）及定期安全審核見稱，吸引全球用戶。正因為保安素來嚴謹，今次被黑更令人震驚，暴露出即使頂尖平台亦有潛在漏洞。

發現黑客事件

今次黑客最早由鏈上分析師ZachXBT發現：於2025年2月21日美東早上10:20，Bybit錢包出現總值約14.6億美元的可疑資金流出。

相關動用到401,347枚 ETH，令外界高度關注潛在保安問題。30分鐘內，Bybit行政總裁Ben Zhou在X（前稱Twitter）確認被黑，指責黑客利用「偽裝交易」手法，趁例行由冷錢包轉熱錢包時進行攻擊。

多重簽名冷錢包與安全機制

乜嘢係多重簽名冷錢包？

多重簽名（multi-sig）冷錢包是種加密貨幣儲存模式，需要多個私鑰共同簽署才能完成轉帳。

相比單把鑰匙的單簽錢包（容易被盜），多重簽名由幾個人或裝置分管。例如2-of-3設計，即需要三個指定簽名人中兩個批准，交易先可發生。

而冷錢包屬離線儲存，唔連網減少駭客及釣魚攻擊風險。

Bybit的multi-sig冷錢包方案需多方批准，本屬行業標準，大額資產一般都用。

今次Bybit為保障ETH資產特別採用multi-sig冷錢包，如此都失守，顯示攻擊手法極度成熟。

技術細節：黑客如何得手

攻擊者綜合使用社交工程和高階技術進行突破。

詳細過程如下：

1. 透過社交工程滲透初步權限

黑客相信屬於北韓Lazarus集團，初期很可能用以下手法入侵：

魚叉式釣魚電郵： 精心設計去騙員工或簽名人輸入密碼、點擊惡意連結。
假冒網站： 冒充Bybit正規介面騙取私鑰/種子詞。
惡意軟件感染： 令簽名人裝置或系統中招，非法取得權限。

黑客正是利用人為疏忽（即使再安全的系統亦會有）。

2. 偽裝介面操控交易

當Bybit例行由ETH multi-sig冷錢包轉熱錢包（即時交易錢包）時，黑客乘機下手。

他們竄改簽名介面，即簽名人用作批准交易的視覺介面。對外顯示正確地址，內裡卻在智能合約邏輯潛伏惡意程式碼。

簽名人蒙在鼓裡，以為是例行操作；但批核時實際批准咗內含惡意碼的交易，改變咗錢包控制權。

3. 改寫智能合約邏輯

惡意程式碼利用審批過程漏洞，令攻擊者取得錢包管理權限。

最終黑客將401,347枚ETH轉至由其掌控的不明地址。

要留意，整體以太坊區塊鏈和智能合約本身並無出事；弱點在於Bybit內部審批流程。

4. 資金洗錢及分散操作

攻擊得手後，黑客迅速將盜得ETH拆散，一次過以1000 ETH為單位分送逾40個錢包。

其後將ETH經去中心化交易所（DEX）轉換成其他加密貨幣或法幣。由於DEX不像中心化交易所需KYC，令封鎖或找回資金更加困難。

區塊鏈分析與資金追蹤

盡管黑客刻意掩飾足跡，區塊鏈分析公司在追蹤資金時發揮關鍵作用。

涉及的主要公司及工具：

Elliptic： 利用其區塊鏈分析軟件追蹤被劫ETH流向及清算模式。
Arkham Intelligence： 實時追蹤資金、標記關聯錢包與轉帳。
MistTrack by Slow Mist： 追查整個鏈上被盜ETH動向，並用於辨認Lazarus常用測試交易及錢包操作規律。

雖然如此，但黑客行動極速、規模龐大，追回資金充滿困難。

他們進一步使用碎幣器（mixer）等工具洗匿幣源，資金追蹤更棘手。

Lazarus集團：幕後黑手

咩係Lazarus集團？

Lazarus是北韓國家支持黑客組織，以高調網絡犯罪見稱，主力目標包括加密貨幣盜竊、勒索病毒、間諜行動。

Group相信受北韓偵察總局指揮，宗旨為體制籌措外匯。

Lazarus與Bybit事件的關聯證據

包括ZachXBT等分析師，把今次突襲與過往Lazarus犯案連上關係，依據有：

測試交易： 正式偷資前先小額試驗，這是Lazarus慣常做法。
關聯錢包： 所用地址與例如Phemex黑客案曾出現的錢包吻合。
鑑證圖及時間模式： 交易活動、錢包運作時間表都和Lazarus過往出手雷同。

Lazarus過往戰績

Lazarus行蹤遍及多宗加密貨幣盜竊，包括：

Ronin Network事件（2022）： 從Axie Infinity遊戲平台偷走6億美元ETH和USDC。
Phemex事件（2024）： 連同今次Bybit受同類手法攻擊。
2024全年總計： 估計47單案件共偷走13.4億美元，佔全年黑市加密活動61%。

小組精通零日漏洞、社交工程，是加密行業頭號威脅。

以太坊與加密貨幣生態圈衝擊

以太坊本身安全如何？

雖然案件規模巨大，但以太坊鏈本身並無被駭。

問題根本出在Bybit內部流程，而非以太坊區塊鏈或智能合約本身。

以太坊作為分散式賬本無安全事故。攻擊未涉及其共識機制（權益證明）或智能合約系統漏洞。

啟示是：人手參與的資產管理程序極易成弱點。

智能合約本身並未被「hack」，但今次偽裝簽名介面令交易審批環節暴露風險，也提示multi-sig錢包介面用戶體驗及安全有待加強。

市場即時及後續影響

嘔心事件令加密貨幣市場即時及間接受創。

ETH消息確認後即跌逾3%，引發更大波動。

事件又撞正ETHDenver全球最大以太坊會議，原本看好情緒不利。

信心受損，更多用戶質疑存資於中心化交易所的安全，亦令分散式金融（DeFi）產品更受關注。

更重要的是，大牛市出現史上最大黑客案，這個「巧合」不容輕視。

Bybit應對與追討措施

Bybit反應迅速，減低市場恐慌並展現運作韌性。 The exchange processed over 580,000 withdrawal requests post-hack, ensuring users could access their funds.

該交易平台在被駭後處理超過580,000宗提款申請，確保用戶可以存取自己的資金。

Bybit also secured bridge loans to cover losses, reassuring users of its solvency. The exchange launched a program offering up to 10% of recovered funds to ethical hackers who assist in retrieving the stolen ETH.

Bybit同時取得過橋貸款填補損失，令用戶放心其資金實力。平台亦推出計劃，向協助找回被盜ETH的白帽黑客提供最多10%已取回款項作為獎勵。

These measures, while proactive, highlight the challenges of recovering funds in such large-scale hacks, especially given the attackers’ laundering techniques.

雖然這些措施屬於主動應對，但亦突顯在如此大型黑客攻擊下追回資金的困難，特別是考慮到黑客的洗錢手法。

Preventive Measures for the Future

未來防範措施

To avoid similar hacks, experts recommend a comprehensive set of security measures based on industry best practices and insights from the Bybit incident.

為避免類似的黑客事件，專家建議綜合採用業界最佳實務及吸取Bybit事件經驗，制定全面的安全措施。

1. Multi-Factor Authentication (MFA)

1. 多重認證 (MFA)

Require multiple layers of verification for transaction approvals, such as:

進行交易批核時需經多重驗證，包括：

Biometric authentication: Fingerprint or facial recognition.
生物認證：指紋或面容識別。
Hardware tokens: Physical devices that generate one-time codes.
硬件認證器：產生一次性密碼的實體裝置。
Time-based one-time passwords (TOTP): Apps like Google Authenticator for temporary codes.
一次性動態密碼（TOTP）：如Google Authenticator等應用程式產生臨時密碼。

2. Secure Communication Channels

2. 安全通訊渠道

Use encrypted and verified channels for all transaction-related communications, such as:

所有與交易有關通訊必須用加密和可驗證渠道，例如：

End-to-end encrypted email: Tools like ProtonMail or Signal for secure messaging.
端對端加密電郵：如ProtonMail或Signal等安全通訊工具。
Dedicated secure portals: Internal systems for transaction approvals, isolated from external threats.
專用安全門戶：用於交易批核的內部系統，與外部威脅隔離。

3. Regular Security Audits

3. 定期安全審計

Conduct frequent assessments and penetration testing to identify vulnerabilities:

定期進行安全評估及滲透測試，查找潛在漏洞：

Third-party audits: Engage reputable firms to review security protocols.
聘請可信賴的第三方機構審核安全措施。
Simulated attacks: Test systems against phishing, malware, and social engineering scenarios.
模擬釣魚、惡意軟件及社交工程攻擊，檢驗系統防禦能力。

4. Employee Training

4. 員工培訓

Educate staff on recognizing social engineering threats, such as:

教育員工識別社交工程威脅，例如：

Spear-phishing awareness: Train employees to identify suspicious emails or links.
目標式釣魚認知：培訓員工分辨可疑電郵或連結。
Credential hygiene: Avoid reusing passwords or storing keys insecurely.
認證衛生：避免重用密碼或以不安全方式存放私鑰。

5. Diversified Asset Management

5. 分散資產管理

Spread funds across multiple wallets to limit exposure:

將資金分散多個錢包，以減低風險：

Cold and hot wallet balance: Keep the majority of funds in cold storage, with minimal amounts in hot wallets for daily operations.
冷、熱錢包平衡：大部分資金存放於冷錢包，小部分於熱錢包作日常運作。
Multi-sig distribution: Use different multi-sig configurations for different asset pools.
多重簽名分配：不同資產池使用不同多重簽名結構。

6. Anomaly Detection Systems

6. 異常交易偵測系統

Implement tools to detect and alert on unusual transaction patterns, such as:

採用工具偵測及警報異常交易行為，包括：

Machine learning models: Identify deviations from normal activity, such as large transfers at unusual times.
機械學習模型：偵測與正常行為偏差，例如非常時段大量轉帳。
Real-time alerts: Notify security teams of suspicious outflows.
即時警報：通知保安團隊可疑資金流出。

7. Stay Updated on Threats

7. 持續追蹤威脅資訊

Continuously update security measures to counter emerging cyber threats:

不斷更新安全措施，應對新興網絡威脅：

Threat intelligence feeds: Subscribe to services that track new attack vectors.
威脅情報服務：訂閱追蹤新攻擊途徑的平台。
Zero-day exploit defenses: Deploy patches and updates promptly to address newly discovered vulnerabilities.
零時差攻擊防護：即時部署更新修補新發現的漏洞。

These measures are crucial, especially given the Lazarus Group’s advanced techniques, which include zero-day exploits, sophisticated social engineering, and rapid fund laundering.

這些措施尤其重要，因為Lazarus集團擁有先進攻擊技術，包括零時差漏洞利用、複雜的社交工程及資金迅速清洗等手法。

Conclusion: Lessons for the Crypto Industry

結論：加密行業的啟示

The Bybit hack, the largest cryptocurrency heist in history, underscores the persistent security challenges facing the industry, particularly from state-sponsored actors like the Lazarus Group.

Bybit被駭事件作為史上最大的加密貨幣盜竊案，突顯行業長期面對的安全挑戰，特別是來自Lazarus等國家級黑客組織的威脅。

While Ethereum remains secure, the incident highlights the need for robust internal processes, advanced cybersecurity measures, and continuous vigilance to protect digital assets.

盡管Ethereum網絡本身仍然安全，事件反映業界仍須健全內部流程、升級網絡安全措施以及持續警惕，才能保障數碼資產安全。

As the cryptocurrency ecosystem evolves, exchanges must prioritize user trust and operational resilience to navigate such crises effectively.

隨著加密貨幣生態圈持續發展，交易所必須將用戶信任及營運韌性列為優先，以有效應對類似危機。

The Bybit breach serves as a stark reminder that even the most secure platforms are vulnerable to human error and sophisticated attacks, emphasizing the importance of layered security and industry-wide collaboration to combat cybercrime.

Bybit漏洞事件警示我們，即使最安全的平台，也難免受人為疏忽及高端攻擊影響，強調要以多層保安和行業協作來共同對抗網絡犯罪。