Bybit遭疑似北韩黑客Lazarus入侵？安全专家称员工电脑被攻陷，钱包多签权限失窃

根据链上侦探ZachXBT调查，Bybit骇客事件的元凶是北韩骇客组织Lazarus Group。另外，慢雾安全专家余弦表示，骇客先是部署恶意合约，并在之后骇入bybit内部持有钱包多签的员工电脑，拿到 3 个多签权限后替换恶意合约，最后窃走资金。
（前情提要：Bybit骇客盗取14.7亿美元ETH，超越Vitalik、以太坊基金会成为「全球第14大」持有者 ）

加密货币交易所 Bybit 今日凌晨惊传遭骇价值约 14.7 亿美元的 ETH 和 stETH，瞬间引爆社群。根据 Arkham 分析数据，骇客将资产变卖后得手价值约 13.4 亿美元 ETH（499,395 枚）以及 4200 万美元的 cmETH（15,000枚），并将资金分散在 53 个地址中。

虽然 Bybit 此次遭骇损失惨重，以太坊资金漏洞高达 50 万枚。但相关机构与交易所仍然愿意贡献一己之力，透过借款 ETH 助力 Bybit 度过短期提领潮。

不仅如此，也有链上相关专家帮忙找出本次事件的元凶以及他们的作案手法。

原凶是北韩骇客组织 Lazarus Group

在骇客事件发生后，链上分析平台 Arkham 就立刻发出 50,000 枚 ARKM 的悬赏，奖励找出整起骇客事件的元凶。对此，链上侦探 ZackXBT 首先提交犯人证据并获得奖励，而整起事件的元凶，就是币圈非常熟悉的北韩骇客组织「LAZARUS GROUP」。

而在推文底下有人询问 ZackXBT：「Bybit 能从 LAZARUS 拿回多少遭骇资金（可能透过协商拿回）」。对此，ZackXBT 表示，在乐观情况下，或许可以拿回 15~30% 资金：

部分追回比较常见（乐观情况下 15-30%？），但要清洗 14.6 亿美金可能会更难，这取决于他们有多耐心。

最近的骇客事件中，Lazarus 主要是把资金分散到不同链上的中国交易所，最终透过 OTC 交易换手。

朝鲜 IT 人员曾经全额归还 Munchables 的资金，但那是完全不同的一个团队。

OneKey：大概率是 Bybit 工作人员电脑被入侵

另外，对于整起骇客事件的攻击手法，慢雾安全专家余弦表示，攻击者先在 2 月 19 日部署恶意合约，并在 2 月 21 日利用 Bybit Safe 多签钱包的三个 owner 签署，将 Safe 合约替换成恶意合约，最后透过恶意合约进行操作，窃走 Bybit 钱包的资金。

冷钱包团队 OneKey 补充表示，骇客大概率确认 bybit 的三个多签电脑已被入侵，具备可攻击条件。并在接下来的多签工作人员日常转帐签名时替换签名内容。

安全专家：Bybit 被盗事件不是个案，去年就有多起遭骇事件

接著，余弦在今早再度发推表示，Bybit 本次被盗事件不是个案，北韩骇客在去年已经成功利用类似手法攻击多家平台：

Safe 合约本身没有问题，问题出在非合约部分，前端被篡改并伪造，以达到欺骗效果。这并非个案，朝鲜骇客去年已成功攻击多家平台，例如：

• WazirX：2.3 亿美元，Safe 多签
• Radiant Capital：5000 万美元，Safe 多签
• DMM：3.05 亿美元，Gnosis 多签

这类攻击手法已经工程化、成熟化，确实厉害。其他项目方也需要提高警惕，类似的攻击点可能不仅存在于 Safe 的多签机制。