黑客年年有,今年也不例外。
众所周知,在加密世界的黑暗丛林中,盗与被盗,处在一种微妙的平衡中,黑客猖獗无孔不入,安全标准,也在这一次次的压力测试中被持续拉高,而公共责任这一在自负盈亏的加密领域少见的词汇,也一次次摆在了项目或者平台方的面前,考验着每个平台的“格局”与市场的“合力”。
就在开年不久,恶性事件再一次发生。2月21日晚,交易所Bybit遭受了一起价值14.6亿美元的黑客攻击,仅从金额论,本次事件已然是加密货币历史上最大的黑客攻击。
追溯黑客源头,神秘的朝鲜组织Lazarus Group再度浮出水面。
时间拉回到2月21日,一个平凡的周五夜晚,加密市场却发生了一件不平凡的事。先是23点27分,链上侦探Zachxbt 监控频道称,监控到从Bybit流出的可疑资金,总额超过14.6 亿美元。
随后,加密KOLFinish也发文印证,表示链上数据检测到Bybit一多签地址将价值15亿美元的ETH转出,并使用 DEX 将 LSD 资产兑换为原生ETH,其强调该地址通过4个不同的DEX兑换,会导致较大的滑点与交易损耗,而交易量如此之大,显然不太寻常。
23点44分,Bybit 联合创始人兼CEO Ben Zhou发文确认了这一说法,表示黑客控制了特定ETH冷钱包,但其余冷钱包安全且提现正常。这一消息无疑明确了黑客作案,而高达15亿美元的被盗金额,让市场一时陷入恐慌。
据CoinMarketCap数据统计,Bybit在遭黑客攻击前拥有 162 亿美元储备资产,被盗115亿美元资产占比约8.64%,仅从金额来看,这已然成为加密历史上最大规模的黑客盗窃,超过了2021 年 Poly Network 遭受的 6.11 亿美元盗窃,即便并非加密领域,15亿美元的欺诈金额在传统领域也已然让人咂舌。而在本次事件后, Bybit黑客ETH持有量超过富达、Vitalik,持有约 0.42% 的以太坊代币总供应量,成为全球第14大持有者。
黑客的操作似乎也驾轻就熟,就在资金被盗后不久,黑客就将49万枚ETH平均分散转移到了49个地址中,并在后续利用混币器开始洗钱。
在此背景下,尽管Bybit及时发声,表示偿付能力足够,也迅速开启了直播答疑提出用过桥贷款予以解决,但该起事件后,直接关联的ETH价格在当天一度下跌6.7%,比特币也从当天的高点下跌了近3%。
从此刻开始,Bybit与黑客就进入了生死时速的拉锯战。一方面,Bybit需要尽快的解决可能面临的资产亏空,直面用户的恐慌性提币甚至可能引发的挤兑需求,另一方面,交易所也有义务用尽全面手段阻止黑客的资金变现。
值得一提的是,在事件发生后,同气连枝的各大交易所也迅速的上演了火星救援。一线交易所币安与OKX、HTX、HashKey迅速发起声援,CZ也适时给出解决方法。但令人的惊讶的是,二线交易所们抱团取暖,直接来了一波雪中送炭。Bitget展现出了惊人的大格局,在最短时间内向Bybit支援了4万枚ETH,当然,如此庞大的金额难免意味着背后利益共同体的可能,但真金白银的支持还是体现出行业内难得一见的温情。
MEXC热钱包也向Bybit冷钱包转款12652 枚 stETH。而币安虽未动,鲸鱼先行,巨鲸用户也提供了约为6.7万枚的ETH,ABCDE联创 Du Jun 也在社交媒体上发文表示,其个人将转移1万枚 ETH 至 Bybit,且1个月内不会提币。据余烬监测,已有5家机构及个人向 Bybit 提供借款支援,总计约 12 万枚 ETH,价值约 3.21 亿美元。
得益于CEO的有效作为与行业的共同努力,在2月22日上午9点,Bybit CEO Ben Zhou表示,99.994%的提款已完成,而Bybit交易所的各项服务,包括提现功能,均已恢复正常。在当日,SOSOVALUE等监测机构也表示Bybit资金完成了缺口覆盖,称Bybit 交易平台在过去12小时内共计流入资金超过40亿美元。根据今日最新消息,Bybit CEO Ben Zhou于发推表示Bybit已完全填补ETH缺口,新的审计 POR(储备证明)报告将很快发布。Lookonchain也监测到Bybit通过多种渠道获得44.7万枚 ETH。
资金挤兑解决,在黑客的围堵上,行业也正在努力。Bybit表示已立案对其进行追查,而通过多方协调努力,成功在一天内成功冻结4289万美元被盗资金。提供协助的机构包括 Tether、THORChain、ChangeNOW、FixedFloat、Avalanche Ecosystem、CoinEx、Bitget、Circle 等。但不得不承认,尽管如此,在加密这一去中心化市场上,寄希望完全阻拦黑客的代币抛售,仍非常困难。截止到今日早上9点,Bybit 黑客已将5.07万枚 ETH(1.42亿美元)换成DAI及其它链上的资产,目前还持有44.86万枚 ETH(12.6亿美元),若拉长时间线,这笔资金早晚会被抛售殆尽。
究竟是何黑客可绕过多签+冷钱包这一在业界最高的安全标准,成功在众目睽睽下拿走15亿美元?
很快,关于攻击事件的细节也被进一步披露。Bybit官方推特表示,Bybit检测到涉及其中一个 ETH 冷钱包的未经授权活动。事件发生时,ETH多重签名冷钱包执行了热钱包的转账。不幸的是,这笔交易是通过一个复杂的攻击操纵的,该攻击掩盖了签名界面,显示正确的地址,同时更改了底层智能合约逻辑。因此,攻击者能够控制受影响的 ETH 冷钱包并将其资产转移到一个未识别的地址。
攻击手法实际上并不复杂,简而言之,所有的交易所都存在冷钱包与热钱包,冷钱包用于安全储存资产,而热钱包则用于日常交易需求,两者之间也会发生金额的流转,本次黑客正是盯紧了这一过程。在Bybit按照惯例将资金从冷钱包转入热钱包时,黑客伪装了一个假的交易界面和链接,实现了浑水摸鱼。由于冷钱包通常是多签机制,黑客在此其中也使用了社工技巧,通过黑入发起交易的人/设备,让后续审核人员降低警惕,审核人员在看到发起人的转账申请后,多会直接点击同意,而在同意后,钱包的权限就拱手送给了黑客。换而言之,黑客并未攻击Safe多签协议本身,而是针对人性的弱点设计了方案。
Safe前端侵入+社工的手法,让市场很快就联想到了恶名昭著的始作俑者——朝鲜黑客Lazarus Group。在此前的的历史案件中,Radiant Capital、WazirX都是用类似的手法被盗,从员工多签侵入替换签名内容,把Safe合约升级替换为部署的恶意合约,操作成功后迅速将资金转入混币器提出,随后消声觅迹。
这一怀疑得到了证实,事件发生4小时后,链上侦探 ZachXBT提交了确凿证据,证实此次针对 Bybit 的攻击由朝鲜黑客组织Lazarus Group实施。
从贬义意味而言,Lazarus无疑是业内让人闻风丧胆的存在。来自现代化程度不高的朝鲜,Lazarus却是世界上顶尖的黑客组织,颇有些割裂与荒诞。Lazarus Group的首战就是2009年的特洛伊行动,黑客们利用DDOS这一常见攻击完成了韩国政府的攻破,成功在36个网站主引导记录(MBR)中植入独立日纪念的文字。
而后,索尼影视、纽约联邦储备银行相继被攻击,WannaCry 勒索软件攻击更是影响了 150个国家的近 20万台计算机,使其一战成名。2017年开始,这一黑客组织开始将目标转向匿名程度更高的加密领域。Bithumb 、Nicehash都曾惨遭毒手,从近年来看,Ronin 被盗取的6.2亿美元、 Horizon Bridge的1亿美元,背后都有该组织的身影。区块链安全平台 Immunefi 发布的一份报告称,Lazarus Group在 2023 年的加密货币黑客攻击事件中,造成的损失超过 3 亿美元,占当年总损失的 17.6%。2024年,WazirX也遭到攻击,损失了2.349 亿美元的加密资产。
攻击频频得手,且数额巨大,即便美国司法部追溯也无果,这一组织,在互联网世界的无主之地中制造混乱,持续不断的为其祖国朝鲜实现外汇创收。或许也有人疑问,朝鲜是如何培养出如此厉害的黑客高手?
实际上,这也是朝鲜的不得已之举。 在长期的制裁中,相比于长枪大炮等实际投入巨大的国防安全事务,在数字化世界培养黑客,已然是朝鲜最具性价比的方案。 从上世纪80年代开始,韩国就开始以“Secret War”为代号进行黑客培养,以自动化大学为核心基地招收学生,据传申请淘汰率高度80%,而即便进入学习,也要接受长达9年的严格训练,并从小就开始赋予使命,按照攻击地域编入不同的组别,甚至会化身卧底融入当地文化以完成任务目标。
当然,丰厚的收益不会少,黑客月薪可高达2000美元一月,并配备首都市中心超过185平米的豪华公寓,尽管看似对黑客而言价值不多,但在人均年收入不足1000美元的朝鲜,他们,可以被认为是金字塔尖的人物。
善与恶,在成年人的世界中,很难评价,对于遭受无妄之灾的用户们,Lazarus可以被认为是纯粹的恶,但对于朝鲜而言,黑客们的每次行动都代表着国家的创收与贡献,对普通民众而言,或许是大大的善。
在善恶的交织中,加密领域所能做的,也只能是不断地提高安全标准,制定更为完善的安全机制与危机解决方案,去面对来势汹汹的攻击,保全黑暗森林中脆弱的资产。
值得一提的是,本次Bybit事件,无疑是加密历史上一次伟大的救援。无论理由为何,加密世界所展现出来行业同舟共济的信心与勇气,仍然让市场触动,成为了垃圾时间中少见的人性曙光,或许大家都知道,如今的市场,再也经不起如此大规模的又一次黑客攻击。颇为有趣的是,面对如此高额的攻击,最爱长臂管辖的美国监管机构似乎都保持着沉默,监管新纪元名不虚传。
但无论如何, 提高安全性是所有用户需要高度关注的优先事项,这次是资本雄厚的Bybit,所以全员声援,被盗的金额虽大,但也只是Bybit一年的盈利,然而,币圈永远不止Bybit,没有一丝涟漪、求助无门、动辄倾家荡产的散户被盗才是行业的常态。对于普通用户而言,如何取得安全与效率的平衡,将是永恒的议题。
