拜比特劫案：朝鲜如何在47分钟内窃取15亿

February 21, 2025。 12:30 PM Coordinated Universal Time。

在 Bybit 的运营中心内，一个预定的转账开始了。 Bybit 是一家总部位于 Dubai 的加密货币交易所，每日交易量达数百亿美元。

401,347 枚 Ethereum 代币。当时价值约 15 亿美元。这次转账是例行性的：从 Bybit 的多重签名冷钱包（为安全离线保管）转至用于运营流动性的热钱包。

三名 Bybit 高级员工需要授权此交易。他们在工作站上打开 Safe{Wallet} 界面。他们审查了目标地址。他们审查了交易详情。一切都与预期操作相符。

他们签署了。

一分钟后，401,000 枚 Ethereum 代币消失了。

没有转到热钱包。而是转到了一个由 North Korea 控制的地址。

没有密码被盗。没有私钥被提取。没有凭证被网络钓鱼。 Bybit 自身的基础设施 未受影响。三名签署人完全按照他们的程序指示行事。他们在屏幕上看到什么，就批准了什么。

他们在屏幕上看到的是一个谎言。

这是有史以来记录到的最大规模的单笔加密货币盗窃案。根据 Guinness World Records 的分类，这是历史上最大的银行抢劫案——甚至超过了 Saddam Hussein 于 2003 年从 Iraq 中央银行提取的 10 亿美元。

它通过修改网站上的一个文件来执行。

这次攻击没有直接针对 Bybit。

Bybit 的基础设施——服务器、员工工作站、签名硬件、内部网络——从未被攻破。随后的每一次取证调查，由独立公司 Sygnia 和 Verichains 进行，都证实了相同的发现。 Bybit 没有被黑客攻击。

被黑客攻击的公司是 Safe——前身为 Gnosis Safe——Ethereum 生态系统中使用最广泛的多重签名钱包平台。 Safe 在 app.safe.global 维护网页界面，大多数机构 Ethereum 持有者通过该界面管理大额交易的多方授权。

Safe 的工程团队约有三十人。其中，一小部分系统管理员拥有修改实时生产代码库和已部署网页界面的权限。

在 February 21 大约三十天前，其中一名系统管理员成为目标。

攻击向量与 Federal Bureau of Investigation 内部追踪为 TraderTraitor 的 North Korean 部门的策略一致。该部门是更广泛的 Lazarus Group 的一个分支，其操作地点在 Third Bureau of North Korea's Reconnaissance General Bureau。

具体的攻击技术未由 Safe 或调查人员公开披露。最可能的是：一种高度针对性的社会工程方法，通过 LinkedIn 联系人、开发者论坛或技术协作借口进行。该管理员下载了一个看似合法的技术文件。该文件包含恶意软件。

恶意软件窃取了 AWS 会话令牌。不是长期凭证——而是 Safe 开发者在日常工作中用于访问 Amazon Web Services 的临时身份验证令牌，Safe 的网页界面就托管在那里。

利用这些令牌，攻击者获得了对 Safe 的 AWS 账户的访问权限。

他们没有提取数据。他们没有部署勒索软件。他们没有尝试通过基础设施进行横向移动。

他们修改了一个 JavaScript 文件。

从 Safe 的 Amazon S3 存储桶提供的文件是前端 JavaScript，它在 Bybit 签署者的浏览器中呈现交易审批界面。

修改后的版本包含取证调查人员后来描述为条件恶意逻辑的代码。

对于绝大多数 Safe 用户——普通持有者、其他交易所、去中心化金融项目——修改后的 JavaScript 的行为与合法版本完全相同。界面正常渲染。交易按预期处理。一切看起来都没有问题。

恶意代码仅在满足特定条件时执行。

这些条件是为 Bybit 精心设计的。

代码检查：此会话是否已针对三个特定钱包地址之一进行身份验证？提议的交易是否是从 Bybit 的 Ethereum 冷钱包进行的转账？如果两个条件都为真——则继续。

如果两个条件都为真，恶意 JavaScript 会在交易数据显示给签署者之前拦截它。它会替换交易逻辑。签署者在屏幕上看到的内容——目标地址、金额、操作类型——在视觉上与合法的预期转账保持一致。

他们实际签署的是一个对由 North Korea 控制的合约的 `delegatecall`。

在 Ethereum 中，`delegatecall` 是一种原语，它允许一个智能合约在另一个合约的上下文中执行代码——拥有对调用者存储和资金的完全访问权限。当签署者批准一个包含 `delegatecall` 的交易时，他们不仅仅是在转移资金。他们正在授予被调用的合约对调用钱包的完全控制权。

通过批准他们认为是例行转账的操作，三名 Bybit 签署者授予了一个 North Korean 控制的合约对其冷钱包的完全所有权。

然后攻击者清空了它。

401,347 枚 Ethereum 代币。15 亿美元。

所有三名签署人的账户都启用了多因素认证。所有三人都拥有有效的硬件安全密钥。这些都没有关系。欺骗发生在身份验证之上的一层——在签署者自己的眼睛解释签署者被要求批准的内容的这一层。

交易在 Ethereum mainnet 上线两分钟后，Safe 网站上的恶意 JavaScript 被删除。

修改后的文件被替换为合法版本。任何后续访问 app.safe.global 的用户都会收到干净的代码。证据从实时环境中消失了。

但 Safe 的基础设施并非提供该文件的唯一位置。 Wayback Machine 档案——由 Internet Archive 维护的公共网络档案——在其活跃部署窗口期间捕获了恶意版本。当调查人员重建攻击时，存档文件成为核心取证证据。攻击者没有预料到公共网络档案会悄悄地复制他们的漏洞。

Bybit 的检测系统在几分钟内标记了异常。首席执行官 Ben Zhou 在数小时内公开证实了盗窃事件。区块链分析公司开始实时追踪被盗的 Ethereum。

洗钱行动已经开始。

North Korea 的加密货币洗钱方法已臻成熟。

盗窃发生后的最初四十八小时内，区块链分析师估计约有 1.6 亿美元的 Ethereum 通过去中心化交易所和跨链桥成功洗钱。这些资产被转换、碎片化、通过隐私协议混合，并在数千个区块链地址中重组。

首选的转换目标是 Bitcoin。

Bitcoin 的交易模型使用 Unspent Transaction Outputs——一种将每笔交易视为离散单位的结构，类似于实体现金。通过 Bitcoin 追踪特定美元价值需要跟踪许多地址上的单个 UTXO，这是一项比追踪 Ethereum 账户复杂指数级的取证任务。

North Korea 的洗钱部门，由 FBI 指定为 TraderTraitor，在第一周内将大部分被盗的 Ethereum 转换为 Bitcoin。

FBI 在 February 26, 2025（袭击发生五天后）发布了一份公共服务公告，正式将此次盗窃归咎于 North Korea。该局公布了 51 个被确定为洗钱基础设施一部分的 Ethereum 地址。它呼吁交易所、去中心化金融平台和区块链情报公司阻止来自这些地址的交易。

按照民族国家网络攻击调查的标准，这次归因是迅速的。它得益于模式匹配。

用于转移 Bybit 被盗资金的地址，在特定点上，与之前加密货币盗窃案（2024 年的 Phemex 盗窃案、2024 年的 BingX 盗窃案、2023 年的 Poloniex 盗窃案）中使用的地址重叠。区块链情报公司 Elliptic 和 TRM Labs，以及独立调查员 ZachXBT，在几天内就确定了这些重叠。

同样的运营者在反复的抢劫案中使用相同的洗钱基础设施。该基础设施就是其标志。

规模背景。

根据多家区块链情报公司的说法，Lazarus Group 及其分支在多年期间，已盗窃了估计 34 亿至 60 多亿美元的加密货币。仅在 2024 年，与 North Korean 相关的盗窃案就超过了 20 亿美元。

Bybit 的 15 亿美元，在一次行动中被盗，超过了次大的单笔盗窃案——2024 年从 Japan 的 DMM Bitcoin 交易所盗窃的 3.08 亿美元——五倍之多。

这些资金通过洗钱网络流入 Democratic People's Republic of Korea 政府控制的账户。 Treasury Department 的指定反复证实，这些账户资助了 North Korea 的武器计划，包括弹道导弹开发及其核计划。

就 Bybit 而言，它幸存了下来。该公司资力雄厚。盗窃发生后的数小时内，首席执行官 Ben Zhou 安排了过桥贷款和来自其他机构持有者的战略资金流入，以补充储备。客户资金受到保护。没有用户损失存入的资产。

该交易所启动了一项恢复悬赏计划，向帮助追踪或扣押被盗资金的人提供高达百分之十的奖励。

绝大多数被盗的 Ethereum 尚未追回。

此案卷中未解决的要素是结构性的。

按照加密货币托管最佳实践的标准，Bybit 没有做错任何事。它使用冷存储来保管其储备。它使用多重签名授权进行转账。它使用信誉良好的第三方界面提供商。它为签署者使用硬件安全密钥。行业推荐的每一项防御控制，Bybit 都已实施。

这次攻击通过破坏 Bybit 控制之外的一层绕过了所有这些措施。

Safe 作为界面提供商，服务着数千家机构客户。这些客户中的任何一个都可能成为目标。 Bybit 被选中，是因为攻击者通过初步侦察，提前识别了其冷钱包地址和交易模式。条件 JavaScript 就是围绕这些特定数据点设计的。

潜在的架构弱点是普遍的，而非特定的。

任何用于签署加密货币交易的网页界面，从定义上讲，都是潜在的显示篡改点。如果界面能够被巧妙地修改——通过破坏其托管基础设施、内容交付网络、源代码仓库或部署管道——在大多数实现中，签署者无法独立验证他们实际签署的内容。

具有独立交易显示的硬件钱包是一种部分缓解措施。但许多硬件钱包无法以人类可读的形式解码像 `delegatecall` 这样的复杂交易结构。它们显示一个原始哈希值。用户盯着一个 64 个字符的十六进制字符串无法通过检查验证其含义。

用户必须信任界面。

North Korea 在 February 21, 2025 演示了这种信任的代价。

Fragment Zero 将跟踪此案卷。

被盗资金继续在全球区块链上碎片化。部分资金仍静态保存在已被标记和制裁的地址中。部分资金继续移动。 FBI 识别的 51 个地址已增加到数百个，分布在多条链上。

Safe 中被入侵机器的开发人员尚未公开姓名。用于接触他的具体社会工程向量也未公开详述。

Lazarus Group 继续运作。在 Bybit 盗窃案发生后的几个月里，规模较小但仍可观的盗窃案——以数千万美元计——被归因于相同的基础设施。

更深层的问题不是加密货币是否会被盗。

更深层的问题是，现在有多少金融基础设施依赖于少数几个开源界面项目——这些项目由小型团队维护，通过实时部署管道更新，并通过网络浏览器使用——它们介于数十亿美元的资产和授权这些资产的人类之间。

在本案中，本可以阻止历史上最大盗窃案发生的人只有一个。而他点击了某个东西。