比特丛林：揭秘Bybit交易所全球最大黑客盗窃案，涉案金额近15亿美元

案件简述

北京时间2025年2月21日晚，Bybit交易所遭受APT攻击，伪造“盲签”突破多签机制，导致冷钱包的资产被盗取近15亿美元。截止到22日早上8时（北京时间）被盗资产分布在51个地址上。

比特丛林作为业内专业溯源公司，通过公开数据进行黑客攻击的全景揭秘。

揭秘一：黑客攻击手法

1. 黑客通过APT攻击获取Bybit员工电脑权限

2. 黑客长期潜伏，观察Bybit转币过程

3. 黑客部署恶意Safe合约：0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516

4. 伪造Safe前端交易提示，欺骗Bybit员工多签，将safe实现合约替换为恶意合约

5. 通过恶意合约转走冷钱包资产

揭秘二、资金转移沉淀和攻击者画像

截止到22日早上8时（北京时间）被盗资产分布在51个地址上（图中黄色地址）

同时，根据最新的情况发现bybit被盗资金与phemex初始黑客地址流出资金目前已经混在一起转移到同一个地址，该地址24年11月就已经使用，历史执行过多次兑换和跨链交易，证实同为朝鲜黑客；

揭秘三：可能造成的金融次生风险

1、黑客抛售或市场恐慌可能引发用户挤兑，或造成Bybit 面临提款激增，资金链承压，需紧急应对以稳信心。

2、ETH 作为一种高波动性资产，其价格受市场情绪、供需关系及宏观经济因素影响显著。此次被盗事件可能导致ETH价格波动，造成损失扩大；

揭秘四：预防措施

1、培训员工提升接受高级网络钓鱼和社交工程防御培训，减少内部引入网络安全风险。

2、做好网络和设备隔离，专机专用，重要机器或者财务相关机器应该与平时办公电脑或者生活电脑区分开，降低攻击面。

3、分散存储资产至多个冷钱包，降低单点被盗影响，提升整体安全性。

4、组建自己的专业的安全团队以及和类似比特丛林的Web3安全公司进行合作，一起对抗黑客。

5、通过购买保险，降低安全事件带来的损失。

揭秘五、Safe钱包多签的安全机制未被攻破

Safe（前身为 Gnosis Safe）是行业广泛使用的多签解决方案，其安全性依赖于多方签名和智能合约逻辑的不可篡改性。

此次攻击表明，黑客并未破解 Safe 的多签机制或利用其代码漏洞，而是通过钓鱼手段获取了足够的签名权限。

揭秘六：比特丛林可以做什么

1、查明真相，还原出来黑客完整的入侵路径，找出隐藏的其他安全风险。

2、比特丛林目前已与十多家大型交易所和组织建立联系，通过钟馗系统可以自动冻结被盗资产，帮助用户最快挽损。

3、通过专业的技术和丰富的经验快速定位和协助司法机关抓捕嫌疑人。