Bybit 被窃 15 亿美元事件溯源：黑客利用 Safe 实施供应链攻击

美国联邦调查局（FBI）日前正式将 Bybit 遭受创纪录的窃亿15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来 
。与此同时 
，美元Bybit 的事件溯源实施首席执行官 Ben Zhou 宣布要对 Lazarus全面”开战“

FBI 表示，朝鲜应对此次加密货币交易所的黑客虚拟资产盗窃事件负责 。该事件被归咎于 FBI 追踪的利用链攻一个特定集群 TraderTraitor，该集群也被称为 Jade Sleet、窃亿Slow Pisces 和 UNC4899。美元

FBI 称
：“TraderTraitor 的事件溯源实施行为迅速 ，已将部分被盗资产转换为比特币和其他虚拟资产 ，黑客并分散在多个区块链上的利用链攻数千个地址中。预计这些资产将被进一步洗钱 ，源码下载窃亿并最终转换为法定货币
。美元”

值得一提的事件溯源实施是，TraderTraitor 集群此前曾被日本和美国当局指控参与 2024 年 5 月从加密货币公司 DMM Bitcoin 窃取价值 3.08 亿美元加密货币的黑客事件。

朝鲜黑客的利用链攻常用攻击手法

TraderTraitor 以针对 Web3 行业的公司而闻名，通常诱骗受害者下载带有恶意软件的加密货币应用程序，从而实施盗窃
。此外 ，该集群还被发现会策划以工作为主题的社会工程活动，导致恶意 npm 包的云计算部署 。

与此同时 ，Bybit 已启动赏金计划，以帮助追回被盗资金
，同时指责 eXch 拒绝配合调查并协助冻结资产 。

Bybit 表示 ：“被盗资金已被转移到无法追踪或冻结的目的地，例如交易所
、混币器或跨链桥，或转换为可以冻结的稳定币。我们需要所有相关方的合作，要么冻结资金，要么提供资金流动的亿华云更新 ，以便我们继续追踪。”

攻击背后的技术细节

总部位于迪拜的 Bybit 还分享了由 Sygnia 和 Verichains 进行的两项调查的结论
，将此次攻击与 Lazarus 集团联系起来。

Sygnia 表示 ：“对三个签名者主机的取证调查表明
，攻击的根本原因是从 Safe{ Wallet} 基础设施中产生的恶意代码 。”

Verichains 指出 ：“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 时间 15:29:25 被恶意代码替换 ，免费模板专门针对 Bybit 的以太坊多签冷钱包。” 并补充说：“攻击设计为在下一次 Bybit 交易期间激活 ，该交易发生在 2025 年 2 月 21 日 UTC 时间 14:13:35。” Safe.Global 的 AWS S3 或 CloudFront 账户/API 密钥可能泄露或被攻破，从而为供应链攻击铺平了道路。

在一份单独声明中，多签钱包平台 Safe{ Wallet} 表示 ，此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实施的 ，影响了 Bybit 运营的账户
。该公司进一步指出，源码库它已实施额外的安全措施来减轻攻击载体 。

Lazarus 集团的历史与手法

Safe{ Wallet} 表示 ：“此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实现的，导致提交了伪装成恶意的交易。Lazarus 是朝鲜国家支持的黑客组织 ，以对开发者凭证进行复杂的社会工程攻击而闻名，有时还结合零日漏洞利用。”

目前尚不清楚开发人员的服务器租用系统是如何被入侵的，尽管 Silent Push 的一项新分析发现，Lazarus 集团在 2025 年 2 月 20 日 22:21:57 注册了域名 bybit-assessment[.]com，该域名在加密货币被盗前几小时注册 。

WHOIS 记录显示，该域名是使用电子邮件地址“trevorgreer9312@gmail[.]com”注册的
，该地址此前已被确认为 Lazarus 集团用于另一个名为“Contagious Interview”活动的身份
。

该公司表示：“Bybit 劫案似乎是由朝鲜威胁行为组织 TraderTraitor 实施的，TraderTraitor 也被称为 Jade Sleet 和 Slow Pisces，而加密货币面试骗局是由朝鲜威胁行为组织 Contagious Interview 领导的 ，该组织也被称为 Famous Chollima
。”

“受害者通常通过 LinkedIn 接触 ，他们在那里被社会工程学欺骗参与虚假的工作面试 。这些面试是目标恶意软件部署、凭证收集以及进一步危害财务和公司资产的切入点。”

据估计，自 2017 年以来，与朝鲜有关的行为者已经窃取了超过 60 亿美元的加密资产。上周窃取的 5 亿美元超过了 2024 年全年从 47 起加密货币劫案中窃取的 34 亿美元。