2 月 22 日凌晨，链上侦探 Zachxbt 监控到 Bybit 疑似遭遇可疑资金流出。随后链上记录显示，Bybit 一多签地址将价值 15 亿美元的 ETH 转出，并使用 DEX 将 LSD 资产兑换为原生 ETH。或受 FUD 情绪影响，以太坊短时跌破 2700 美元；Bybit 原生平台代币 MNT 短时跌破 0.9 美元，24 小时跌幅 7.71%。

Bybit CEO Ben Zhou 很快做出回应称，黑客的确控制了特定 ETH 冷钱包，但其余冷钱包安全且提现正常。Ben Zhou 还强调，Bybit 具备偿付能力，可以承担这笔损失。本站 将持续关注并实时更新，以下为时间线整理：

2 月 22 日

Bybit 黑客 ETH 持有量超过富达、Vitalik，成为全球第 14 大持有者

Coinbase 主管 Conor Grogan 在社交媒体上发文表示，Bybit 黑客（疑似来自朝鲜）已成为全球第 14 大 ETH 持有者，其持有量约占以太坊代币总供应量的 0.42%。这一数量已超过富达（Fidelity）投资公司、以太坊联合创始人 Vitalik Buterin 的 ETH 持有量，且是以太坊基金会 ETH 持有量的 2 倍以上。

Bybit CEO：提款系统现已完全恢复正常，将发布完整事件报告

10 时 51 分，Bybit CEO Ben Zhou 发文表示，距离历史上最严重的黑客攻击过后 12 小时。所有提款均已处理。Bybit 提款系统现已完全恢复正常，用户可以提取任何金额，并且不会有任何延迟。感谢用户的耐心等待，Bybit 对这种情况的发生感到抱歉。Bybit 将在未来几天内发布完整的事件报告和安全措施。

Bybit 黑客的 1.5 万枚 cmETH 解质押申请被拒，或能成功拦截

9 时 15 分，据链上数据分析师余烬监测，1 小时前，Bybit 黑客的 1.5 万枚 cmETH 解质押申请被 cmETH 提款合约退回。此后，黑客在 DODO 上进行了 cmETH 的交易授权，但并没有进一步的交易，可能是因为 cmETH 的流动性池子非常浅导致。

这 1.5 万枚 cmETH 应该是可以被拦截住了。除了这 1.5 万枚 cmETH，Bybit 的被盗 ETH 数量是 49.9 万枚 (约合 13.7 亿美元)，被黑客分散存放在 51 个地址中。

Safe：全面排查后仍未发现安全漏洞，没有其他 Safe 地址受到影响

9 时 08 分，Safe 在社交媒体上针对「ByBit 显示了看似正确的交易信息，然而在链上执行了一个具有所有有效签名的恶意交易」问题回应称：

· 未发现代码库泄露：对 Safe 代码库进行了彻底检查，未发现泄露或修改的证据。

· 未发现恶意依赖项：没有迹象表明 Safe 代码库中的恶意依赖项会影响交易流（即供应链攻击）

· 在日志中未检测到对基础设施的未经授权的访问

· 没有其他 Safe 地址受到影响

Safe 表示，目前其暂时暂停了 Safe{Wallet} 功能，以用户确保对 Safe 平台的安全性有绝对的信心。尽管调查显示没有证据表明 Safe{Wallet} 前端本身遭到入侵，但我们正在进行更彻底的审查。

Bybit CEO：已处理 99.99% 的提款请求

8 时 52 分，Bybit CEO Ben Zhou 在社交媒体上发文表示，自黑客攻击事件以来（10 小时前），Bybit 经历了我们见过的最多的提款数量，总共有超过 35 万笔提款请求，到目前为止，大约有 2100 个提款请求有待处理。总体 99.994% 的提款已完成。整个团队整夜保持清醒，处理和回答了客户的问题和疑虑。

Bitget 于 5 小时前转移 4 万枚 ETH 借款至 Bybit 以缓解提现压力

9 时左右，据链上数据分析师余烬监测，5 小时前，Bitget 向 Bybit 支援了 4 万枚 ETH (约合 1.059 亿美元) 借款以度过这次 ETH 被盗后的提现潮，这些 ETH 直接从 Bitget 转进了 Bybit 冷钱包地址。

7 时 27 分，Bybit CEO Ben Zhou 在社交媒体上针对「Binance 和 Bitget 累计向 Bybit 的冷钱包存入超过 50,000 枚 ETH」的新闻发布回应称，感谢 Bitget 在此刻伸出援手，Bybit 仍在与 Binance 和其他几个合伙伙伴进行沟通，该消息所描述的资金与 Binance 官方无关。

Bybit：已与链上分析机构进行广泛合作以限制黑客抛售 ETH

5 时 07 分，Bybit 官方在社交媒体上发文表示，其已向有关当局报告了本次被盗的情况，一旦获得任何进一步的信息，将立即发送更新。同时，Bybit 已经与链上分析提供商进行了快速而广泛的合作，以识别所有涉及的地址。这些行动将减轻和打击不良行为者通过合法市场处置和抛售 ETH 的能力，从而缩小可用的处置渠道。

朝鲜 Lazarus Group 被指控策划 Bybit 黑客攻击事件

4 时 21 分，Arkham 在 X 平台发文称，ZachXBT 在 19:09 UTC 提交证据，证明朝鲜 Lazarus Group 策划了此次攻击，并附带测试交易分析、相关钱包连接及取证图表。该报告已提交给 Bybit 团队协助调查。

Bybit CEO：多签转账时存在问题但没留意，当前挤兑高峰期已过

1 时 29 分，Bybit CEO Ben Zhou 于直播中分享称，「多签转账时其是最后一个签名的，使用的 ledger 设备，签名时存在问题但是没留意，签名时没显示送达地址。目前共有 4000 笔提币交易处在等待处理状态。」

Ben Zhou 在直播中再次强调，Bybit 财库可以覆盖 40 万枚以太坊的损失。「我们已经处理了 70% 的提款，挤兑高峰已经过去，大额提款正在接受常规安全审查，接下来几个小时我们仍在处理剩余的提款。所有客户的提款都将得到处理。」

Ben Zhou 还表示正考虑从合作伙伴处获得桥接贷款以弥补被盗资金。「不会购买以太坊，正在考虑从合作伙伴处获得桥接贷款以弥补被盗资金，80% 已经获得保障。」

Safe 安全团队正与 Bybit 合作，尚未发现 Safe 前端遭入侵证据

0 时 47 分，Safe 安全团队发文表示正在与 Bybit 密切合作，进行持续调查。目前尚未发现官方 Safe 前端遭到入侵的证据。但出于谨慎考虑，Safe{Wallet} 已暂时暂停某些功能。用户安全是我们的首要任务，将尽快提供更多更新。

Bybit 黑客将 49 万枚 ETH 分散转移至 49 个地址中，仍有 1.5 万枚 cmETH 等待解质押

0 时 45 分，据 EmberCN 监测，Bybit 的 ETH 多签冷钱包被盗 51.4 万枚 ETH，价值 14.29 亿美元。黑客已经将其中 49 万枚 ETH 分散转移到了 49 个地址中 (每个地址 1 万枚)。「另外还有 1.5 万枚 cmETH 正在被黑客解质押中 (有 8 小时等待期，不知道这个能否拦截下来了)。」

慢雾披露 Bybit 黑客作案细节

0 时 36 分，慢雾发文披露 Bybit 黑客作案细节：

· 恶意的实现合约在 UTC 2025-02-19 7:15:23 被部署

0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516

· 攻击者在 UTC 2025-02-21 14:13:35 利用三个 owner 签署了将 Safe 实现合约替换为恶意合约的交易

0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

· 恶意的升级逻辑通过 DELEGATECALL 被嵌入 STORAGE[0x0]

0x96221423681A6d52E184D440a8eFCEbB105C7242

· 攻击者利用恶意合约中的后门函数 sweepETH 与 sweepERC20 偷空了热钱包。

何一、CZ、Justin Sun 先后声援 Bybit，表示愿随时提供帮助

0 时 29 分，Binance 联合创始人何一于社交平台回应 Bybit 被盗事件称，「We are here when you need(我们随时待命，随时提供帮助)」。

0 时 34 分，Binance 创始人 CZ 于社交平台回应 Bybit 被盗事件称，「这并不是一个容易处理的情况。建议暂时暂停所有提现，作为标准的安全预防措施。如有需要，我愿意提供任何帮助。祝好运！」

0 时 39 分，火币 HTX 全球顾问、波场 TRON 创始人 Justin Sun 于社交平台回应 Bybit 被盗事件称，「我们一直在密切关注 Bybit 事件，并将尽最大努力协助我们的合作伙伴追踪相关资金，提供我们能力范围内的所有支持。」

Defillama 创始人：Bybit 黑客事件后用户提现净流出金额已达 7 亿美元

0 时 23 分，Defillama 创始人 0xngmi 于社交平台发文分享称，「到目前为止，在 Bybit 发生黑客事件后，用户提现导致的净流出金额已达到 7 亿美元。」

Bybit 被盗原生 ETH 及各类衍生 ETH 总计 514,723 枚

据 OnchainLens 监测，Bybit 被盗资金流出具体情况如下：

· 401,347 枚 ETH，价值 11.2 亿美元；

· 90,376 枚 stETH，价值 2.5316 亿美元；

· 15,000 枚 cmETH，价值 4413 万美元；

· 8,000 枚 mETH，价值 2300 万美元。

被盗的原生 ETH 及各类衍生 ETH 总计 514,723 枚。

Bybit CEO：很快将开启直播以回答所有问题

0 时 20 分，Bybit CEO Ben Zhou 于 X 平台发文更新称，「我很快就会开始直播，回答所有问题！！请继续关注。」

Ethena：Bybit 对冲头寸相关 PNL 仅不足 3000 万美元，USDe 现货资产托管于 CEX 之外

0 时 16 分，Ethena Labs 发文称，「我们已关注到 Bybit 目前正在发展的情况，并将持续监控最新动态。提醒大家：所有支持 USDe 的现货资产均托管在交易所以外的托管解决方案中，包括 Bybit 通过 Copper Clearloop 进行托管，正是为了这种情况做准备。

没有任何一美元的现货支持资金存放在任何交易所，包括 Bybit。目前，与 Bybit 对冲头寸相关的未实现总收益（PNL）不到 3000 万美元，远低于储备基金的一半。USDe 目前仍然是完全超额抵押的。我们将在收到进一步信息时提供更新。」

ZachXBT：Bybit 黑客将 1 万枚 ETH 分散至 39 个新地址，呼吁各方及时拉黑

ZachXBT 发文称 Bybit 黑客已将 10,000 ETH 分散至 39 个新地址。「如果您是交易平台或服务提供商，请在所有 EVM 链上拉黑这些地址。」

慢雾余弦：Bybit 黑客攻击手法与朝鲜黑客相似

慢雾创始人余弦发文表示，「虽然现在没有明确证据，但从搞 Safe 多签的手法及目前洗币手法，像朝鲜黑客。」

2 月 21 日

Bybit 黑客已开始向多个地址分散资金

23 时 57 分，据 Arkham 监测，Bybit 黑客已开始向多个地址分散资金。

Bybit CEO：平台提现正常，其余冷、热钱包均没有受到影响；Bybit 具备偿付能力，可以承担这笔损失

23 时 53 分，Bybit CEO Ben Zhou 发文更新称，Bybit 的热钱包、暖钱包和所有其他冷钱包都没有受到影响。唯一被黑客攻击的是 ETH 冷钱包。所有提现均正常。同时强调，「Bybit 依然具备偿付能力，即使此次黑客攻击导致的损失无法追回，所有客户资产仍然保持 1:1 支持，我们可以承担这笔损失。」

Bybit 平台总资产为 157.27 亿美元，以太坊资产达 51.8 亿美元

截至 2 月 21 日 23 时 54 分，据 Defillama 数据，Bybit 平台总资产为 157.27 亿美元，其中包括：

· 62.63 亿美元的比特币；

· 51.8 亿美元的以太坊；

· 13.5 亿美元的 SOL；

· 11.43 亿美元的 TRON。

Bybit CEO：黑客控制了特定 ETH 冷钱包，其余冷钱包安全且提现正常

23 时 44 分，Bybit 联合创始人兼 CEO Ben Zhou 发文称，「Bybit 的 ETH 多签冷钱包大约 1 小时前进行了转账到我们的热钱包。看起来这笔交易被伪装了，所有签名者都看到伪装的界面，显示了正确的地址，并且 URL 来自 Safe。

但是签名信息却是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们签名的特定 ETH 冷钱包，并将钱包中的所有 ETH 转移到这个未确认的地址。

请放心，所有其他冷钱包都是安全的。所有提现都是正常的。我会在更多情况出现时继续更新。如果有团队可以帮助我们追踪被盗的资金，将不胜感激。」

 

Bybit 一多签地址将价值 15 亿美元的 ETH 转出，并使用 DEX 将 LSD 资产兑换为原生 ETH

几分钟后，加密 KOL Finish 发文称，根据链上数据，Bybit 的一个多重签名地址将价值 15 亿美元的 ETH 转移到新地址。资金到达新地址 0x47666fab8bd0ac7003bce3f5c3585383f09486e2，然后转移到 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e，0xa4 目前正在出售 stETH 和 mETH 以换取 ETH。

「目前该地址正在使用 4 种不同的 DEX，如果他们只是将 LSD 换成原生 ETH，交易执行效果会很糟糕（磨损较大）。这种规模通常会通过场外交易进行，因此这很不寻常。」

Zachxbt 监控 Bybit 疑似遭遇可疑资金流出

2 月 21 日晚 23 时 27 分左右，Zachxbt 监控频道称，目前正在监控从 Bybit 流出的可疑资金，总额超过 14.6 亿美元。