追踪史上最大金额盗币案：50万颗ETH被盗，Bybit资金流向何方？

洗钱手法解析

Ben Zhou 于周一在 X 平台发布的推文中指出：

「被骇总资金约为 14 亿美元，约 50 万颗 ETH。68.57% 仍可追踪，27.59% 已变得无法追踪，另有 3.84% 已被冻结。这些无法追踪的资金，主要流入混币器（mixer），接著经由跨链桥进入点对点（P2P）与场外交易（OTC）。」

根据推文，这些资金首先经由混币器（如 Wasabi）进行洗币，再透过跨链桥转移至 P2P 与 OTC 平台。其中部分资金后续也进入其他混币器，例如 Railgun、Tornado Cash 及 CryptoMixer。此外，骇客还透过 Thorchain、eXch、Lombard、LiFi、Stargate 以及 SunSwap 等协议进行多次跨链兑换，将这些资金转为更具流动性的资产。

最大金额盗币事件

这起骇客事件发生在 2024 年 2 月，Lazarus Group 控制了 Bybit 的一个以太坊冷钱包，并将其中的所有 ETH（总共约 500,000 颗）转至一个不明地址。

取证资料显示，其中 432,748 颗 ETH（约 84.45%）已透过 Thorchain 转换为比特币。值得注意的是，其中的 342,975 颗 ETH（约 9.6 亿美元）已转换为 10,003 颗 BTC，并分散至 35,772 个钱包中，平均每个钱包仅约 0.28 BTC。

另外仍有 5,991 颗 ETH（约 1.677 亿美元） 留在以太坊链上，分散于 12,490 个钱包中。

 Lazarus 悬赏追缉进度

为追查骇客资金流向，Bybit 发起了「Lazarus 悬赏行动」，在过去两个月中收到了 5,443 份悬赏举报，但其中仅有 70 笔被认定为有效。Ben Zhou 表示，目前仍需更多能够「解码混币器」的猎人加入，「我们接下来在这方面需要很多帮助」。