在迄今為止規模最大的加密貨幣竊盜案中,塞席爾註冊的交易所 Bybit 於 2025 年 2 月 21 日損失約 15 億美元以太幣(ETH),肇因於北韓駭客發動的高階攻擊。
Bybit 執行長周彬已證實本次資料外洩,標誌著針對加密產業的網路犯罪行為再度升級,並引發業界對數位資產安全的嚴重疑問。
以下將深度分析這次駭客事件、所用技術手段、區塊鏈分析的角色、Lazarus Group 的涉入,以及此事件對加密貨幣生態系造成哪些廣泛影響。
Bybit:加密市場上的重要玩家
Bybit 成立於 2018 年,總部設於塞席爾,已躍升為全球著名的加密貨幣交易所,擁有極高交易量與多元服務,包括現價買賣加密貨幣、槓桿合約預測價格走勢,以及將資金託管於平台支持區塊鏈運作來獲取獎勵。
該交易所以用戶介面友善與強悍安全措施著稱,例如多簽冷錢包與定期安全稽核,吸引全球用戶。然而此次被駭,說明即使最具信譽的平臺亦難逃資安漏洞,衝擊甚鉅。
駭客事件的發現經過
本次攻擊最先由鏈上分析師 ZachXBT 偵測到,他於 2025 年 2 月 21 日上午 10:20(美東時間)指出 Bybit 錢包出現 14.6 億美元的異常轉出。
這些轉出共涉及 401,347 顆以太幣,馬上引起資安警覺。不到 30 分鐘,Bybit 執行長 Ben Zhou 在 X(原 Twitter)證實遭駭,並說此次攻擊利用「遮蔽」的交易技術,於例行將資金轉入溫錢包過程中,攻破了多簽冷錢包。
認識多簽冷錢包與其安全性
什麼是多簽冷錢包?
多重簽章(multi-sig)冷錢包是一種強化安全的加密貨幣存儲方案,必須經多把私鑰同意才能執行交易。
與只靠單一私鑰而易受盜竊的錢包不同,多簽錢包權限分散於多端。例如三人裡必須兩人(2-of-3)聯合簽章才能支付。
冷錢包即為離線儲存,無網路連結,有效降低遭駭或網釣風險。
Bybit 採用多簽冷錢包,確保大量 ETH 資產更安全。此次違規顯示攻擊手法極為精密,超出常規防護。
駭客手法詳解
攻擊者結合社交工程與高難度技術偽造,穿透 Bybit 多簽防線。
具體流程如下:
1. 社交工程滲透初步存取權
駭客(推測為北韓 Lazarus Group 成員)初步利用高階網釣手段,例如:
- 魚叉式詐騙郵件:目標鎖定員工或簽署人,誘騙輸入憑證或點擊惡意連結。
- 仿冒網站:製造高仿 Bybit 網頁介面,以竊取私鑰或助記詞。
- 惡意程式感染:植入病毒,並侵入簽署人系統。
人為失誤仍是最嚴重的安全弱點。
2. 遮蔽式介面操控轉帳
駭客趁 Bybit 例行將 ETH 由多簽冷錢包轉至溫錢包過程中下手。攻擊者操控簽章介面(用戶簽署交易的畫面),表面展示正確收款地址,卻在底層智能合約邏輯植入有害程式碼。
簽署人無察覺,純以為是正常操作,實則批准內含惡意程式的轉帳,導致錢包控制權遭竄改。
3. 智能合約邏輯被更改
惡意程式碼利用簽章驗證流程的漏洞,改寫智能合約邏輯,讓攻擊者取得錢包掌控權,最終將 401,347 顆 ETH 轉入其控制的匿名地址。
這一攻擊並未危及以太坊區塊鏈本身或智能合約,而是利用 Bybit 內部交易簽核機制的弱點。
4. 資金洗錢與分散
握有資金後,攻擊者迅速將遭竊 ETH 拆分(每筆 1,000 ETH),分散到逾 40 個錢包,藉此隱藏資金流向。
再將 ETH 兌換成其它加密資產或法幣,多透過無需 KYC 的去中心化交易所(DEX)操作,使資金回收與凍結困難重重。
區塊鏈分析與追蹤
儘管駭客努力掩飾去向,區塊鏈分析公司仍協助追蹤資金流動。
主要參與單位和工具,包括:
- Elliptic:專精加密分析,追蹤被分散和清算的 ETH,軟體可分析地址和交易模式識別可疑行為。
- Arkham Intelligence:即時追蹤錢包與資金流向的分析公司。
- Slow Mist 的 MistTrack:用於追蹤以太坊網絡上被竊 ETH 流向的區塊鏈鑑識工具,指出測試交易和錢包模式,與 Lazarus Group 技術高度吻合。
即使採取高強度分析,因兌現速度極快且數量龐大,資金實際追回難度極高。
駭客大量運用 DEX 與「混幣器」(用於洗錢的工具),進一步增加追查難度。
Lazarus Group:此次駭客幕後黑手
誰是 Lazarus Group?
Lazarus Group 是一支由北韓政府資助的駭客組織,專精高調加密詐騙、勒索攻擊與間諜活動,被認為受北韓偵察總局領導,其主要目的就是為政權創收。
連結 Bybit 駭案的證據
區塊鏈分析師(如 ZachXBT 等)從多項跡象判定 Bybit 駭案與 Lazarus Group 過往行動有關聯。
- 測試交易:正式攻擊前發出小額測試,這是 Lazarus 慣用戰術。
- 相關錢包:涉案錢包與 Phemex 駭案等過去案例有重複使用與轉帳痕跡。
- 鑑識圖表與時間分析:交易時間模式及錢包操作行為吻合已知 Lazarus 特色。
Lazarus Group 的犯案紀錄
Lazarus Group 長期進行加密貨幣竊案,著名案例包括:
- Ronin Network 駭案(2022):自 Axie Infinity 平台竊走 6 億美元 ETH 與 USDC。
- Phemex 駭案(2024):與此次 Bybit 事件有技術及錢包共用痕跡。
- 2024 年合計:該集團全年涉及 47 起駭案,估計共竊走 13.4 億美元,占該年非法加密活動 61%。
他們擅長運用零日漏洞、精密社交工程等技術,是當前最強大的產業威脅者。
以太坊與加密生態系影響
以太坊的安全性
雖然遭竊事件規模龐大,但以太坊區塊鏈本身並未被攻破。
漏洞出於 Bybit 內部流程,而非以太坊的共識機制或智能合約系統。
以太坊區塊鏈作為去中心化帳本依然安全,智能合約本身無漏洞遭駭。這次違規暴露人為簽核流程安全風險,以及多簽錢包用戶介面及簽章機制的隱憂。
市場更廣泛衝擊
本次駭案直接衝擊加密市場,ETH 價格在消息公開後下跌逾 3%,波動加劇。
此事件發生時值 ETHDenver——以太坊圈最大會議之一,原是市場利多時機卻籠罩利空。
事件削弱了市場對中心化交易所的信心,促使用戶質疑資產安全,也使去中心化金融(DeFi)方案受到更多重視。
當然,史上最大駭案又發生於牛市本身,更不容忽視其指標意義。
Bybit 回應及後續補救
Bybit 迅速應變,有效抑制市場恐慌,展現了運營彈性。 The exchange processed over 580,000 withdrawal requests post-hack, ensuring users could access their funds.
Bybit also secured bridge loans to cover losses, reassuring users of its solvency. The exchange launched a program offering up to 10% of recovered funds to ethical hackers who assist in retrieving the stolen ETH.
這些措施雖屬積極主動,卻凸顯出在如此大規模駭客攻擊下,資金回收所面臨的挑戰,尤其是在駭客採用複雜洗錢手法的情況下。
Preventive Measures for the Future
為避免類似事件重演,專家建議採納一系列基於產業最佳實踐及 Bybit 案例洞察的全面性安全措施。
1. 多重身份驗證(MFA)
要求交易審批時需多層驗證,例如:
- 生物辨識驗證:指紋或臉部辨識。
- 硬體驗證器:產生一次性密碼的實體裝置。
- 基於時間的一次性密碼(TOTP):使用像 Google Authenticator 這類應用程式產生暫時密碼。
2. 安全通訊管道
對所有交易相關通訊使用加密且經過驗證的管道,如:
- 端對端加密電子郵件:利用 ProtonMail 或 Signal 進行安全訊息傳送。
- 專用安全入口:透過內部系統進行交易審批,與外部威脅隔絕。
3. 定期安全稽核
定期進行評估及滲透測試,發掘潛在弱點:
- 第三方稽核:委託信譽良好的公司檢視安全協議。
- 模擬攻擊:針對釣魚、惡意軟體及社交工程情境測試系統。
4. 員工訓練
教育員工辨識社交工程威脅,例如:
- 標槍式網路釣魚意識:訓練員工識別可疑電子郵件或連結。
- 憑證管理習慣:避免重複使用密碼或不安全地儲存金鑰。
5. 資產分散管理
將資金分散於多個錢包,降低單一曝險風險:
- 冷錢包與熱錢包平衡:大部分資產儲存在冷錢包,僅少量用於日常營運的熱錢包。
- 多重簽名配置分散:不同資產池使用不同的多簽方案。
6. 異常偵測系統
導入工具,偵測並警報異常交易模式,例如:
- 機器學習模型:識別非正常活動偏離,例如在非尋常時間的大額轉帳。
- 即時警報:發現可疑資金流時即時通知安全團隊。
7. 持續追蹤威脅動態
不斷更新安全措施以因應新興網路威脅:
- 威脅情報來源:訂閱服務追蹤最新攻擊手法。
- 零日漏洞防護:即時部署修補程式,針對新發現的安全漏洞採取行動。
這些措施至關重要,尤其面對 Lazarus 集團等具備零日漏洞攻擊、高級社交工程和快速資金洗錢等先進手法的攻擊者時,更不可掉以輕心。
Conclusion: Lessons for the Crypto Industry
The Bybit hack, the largest cryptocurrency heist in history, underscores the persistent security challenges facing the industry, particularly from state-sponsored actors like the Lazarus Group.
雖然 Ethereum 依然安全,這起事件凸顯內部流程健全性、高級網路資安措施以及持續警覺對保護數位資產的重要性。
隨著加密貨幣生態系不斷演進,交易所必須將用戶信任與營運韌性為首要考量,方能有效度過類似危機。
Bybit 這起攻擊事件殷鑑不遠,即使最安全的平台也難免人為疏失或面臨高明攻擊。這也強調層層防護與行業協作對抗網路犯罪的重要性。