调查人员将价值 14 亿美元的 Bybit 黑客事件与朝鲜的 Lazarus Group联系起来

调查人员将 $1.4B Bybit 黑客攻击与朝鲜的 Lazarus Group 联系起来，揭露了一起与国家支持的网络犯罪和洗钱有关的重大加密抢劫案。

2025 年 2 月 21 日，全球第二大加密货币交易所 Bybit 因冷钱包泄露而遭受了 14 亿美元的毁灭性以太坊（ETH）黑客攻击。在攻击发生后的几天内，独立区块链调查员 ZachXBT 将被盗资金直接追踪到朝鲜的 Lazarus Group，这是一个臭名昭著的、由国家支持的黑客组织。他的发现得到了区块链分析公司 Arkham Intelligence 的证实，并与 Bybit 团队分享以供进一步调查。

ZachXBT 发现 Lazarus Group 的加密踪迹

2 月 21 日 19：09 UTC，Arkham 在推特上表示，ZachXBT 已提交将攻击与 Lazarus Group 联系起来的明确证据。他提交的内容包括详细的测试交易、连接的钱包地址、取证图和时间分析;所有这些都表明，这次黑客攻击是有预谋的。

第二天，即 2 月 22 日，ZachXBT 发布了进一步的证据，显示 Lazarus 不仅执行了 Bybit 黑客攻击，而且还将链上被盗资金与最近发生在 2 月 20 日的 Phemex 黑客攻击直接联系起来。他确定了一个关键的重叠地址 （），其中两次黑客攻击的资金混合在一起，有效地证明了同一个实体对此负责。0x33d057af74779925c4b2e720a820387cb89f8f65

Lazarus Group 活动的链上证据

Bybit Hack 交易（2025 年 2 月 22 日）：

0xc963e65b9ec39b11076f78990c31f29aaa80705c75312dafd1748479e3e94ed0
0x411374feedcfa560335f00c0fcfa0a3906fdcc33687e6f924dd78ebecc45cd00

Phemex Hack 交易（2025 年 2 月 20 日）：

0x6262a3339842240aeebae4ebfe338dbc771aa0e2df8f5a1ebcd7f9b090bedfe3

ZachXBT 后来在推特上表示，在这些交易浮出水面之前，他和另一位区块链调查员 CF（加密法医调查员）的 Josh 已经追踪了与 Bybit 相关的测试地址，这些地址涉及通过 Tron 从 Phemex 黑客攻击中洗钱。他们的发现帮助他们获得了 Arkham 的赏金，Arkham 为任何能够识别 Bybit 黑客的人提供了奖励。

Lazarus Group 刚刚将 Bybit 黑客攻击与 Phemex 黑客攻击直接连接在链上，将这两起事件的初始盗窃地址的资金混合在一起。

重叠地址：
0x33d057af74779925c4b2e720a820387cb89f8f65

Bybit 于 2025 年 2 月 22 日遭到黑客攻击：...pic.twitter.com/dh2oHUBCvW

— ZachXBT （@zachxbt） 2025 年 2 月 22 日

新发现将 Bybit Hack 与 BingX Hack 联系起来

2 月 22 日晚些时候，ZachXBT 又披露了另一个重大消息：Lazarus Group 还将 2024 年 9 月 BingX 黑客攻击中使用的地址链接到导致 Bybit 和 Phemex 黑客攻击的同一地址集群。这意味着 Bybit、BingX 和 Phemex 这三个黑客都通过链上交易连接起来。

重叠地址：

0xd555789b146256253cd4540da28dcff6e44f6e50

Bybit Hack 交易：

0x4a366130118d750715c2d35fdc07509cf943fcc988fa5e6d02211e3d5472796e

BingX Hack 交易：

0x93424aa87731bb9b1d8cc1f708d2ac9f3faf914f368a00494d87cba3e7719e8c

Lazarus集团几分钟前刚刚将与BingX黑客相关的地址链接到这个相同的集群，该集群现在在链上连接了Bybit、BingX和Phemex黑客。

Overlap
0xd555789b146256253cd4540da28dcff6e44f6e50

Bybit hack txn：...pic.twitter.com/CGh7pB31Xa

— ZachXBT （@zachxbt） 2025 年 2 月 22 日

调查人员公布了 920+ 个与黑客攻击相关的地址
2 月 22 日晚上 9：05 UTC，ZachXBT 在推特上表示，他花了一整天的时间绘制被盗 Bybit 资金的洗钱动向。他还公开了 920+ 个与盗窃相关的钱包地址，以帮助交易所和安全团队阻止非法交易。

Bybit 于 2 月 23 日上午 9 点 17 分在一条推文中回应了他的发现，感谢 ZachXBT 的工作，并表示：“非常感谢 @ZachXBT 始终保持空间清晰。你的工作没有被忽视——非常尊重。

Bybit 恢复运营并警告骗子

尽管发生了大规模盗窃，但 Bybit 宣布平台上的存款和取款已恢复正常。但是，该交易所警告用户注意冒充 Bybit 员工的骗子，敦促他们验证所有通信并避免共享个人信息。

“骗子们假装是 Bybit 员工。保持敏锐！Bybit 绝不会询问您的个人信息、存款或密码，“Bybit 在推特上写道。

协同努力冻结了 $42.89M 的被盗资金

加密安全团队之间的全球协调努力导致在一天内冻结了 4289 万美元的被盗资产。根据 ByBit 的推文，包括稳定币发行商和交易所在内的业内几位关键参与者帮助跟踪和阻止了被黑客入侵资金的流动。

各种实体冻结的资金：

ChangeNOW：冻结 34 ETH
Circle：协助提供关键线索
THORChain：阻止黑名单
FixedFloat：冻结 120K USDC + USDT
Avalanche (AVAX)：冻结 0.38755 BTC
Bitget：屏蔽黑名单并冻结 84 USDT
Tether：标记地址并冻结 181K USDT
CoinEx：阻止黑名单并提供关键见解

Bybit 承认并赞扬了这些公司的迅速反应，并表示他们的努力对于追踪和冻结被黑客入侵的资金至关重要。

Lazarus Group 是谁？

Lazarus Group 是一个由国家资助的朝鲜黑客组织，负责历史上一些最大的网络抢劫案。该组织于 2010 年代初首次被发现，与多起备受瞩目的金融和网络攻击有关，包括 2014 年索尼影业黑客攻击、2017 年 WannaCry 勒索软件攻击和一长串加密货币交易所泄露事件。

他们的主要目标是窃取资金以支持朝鲜受到严重制裁的经济，该经济在国际金融限制下苦苦挣扎。据情报机构和区块链分析公司称，自 2018 年以来，Lazarus 已窃取超过 30 亿美元的加密货币，其中大部分资金流向了朝鲜的核武器计划和军事行动。

该组织通常通过社会工程、网络钓鱼和利用加密平台中的安全漏洞来执行攻击。他们的洗钱方法通常涉及混合服务、去中心化交易所和跨链交换，以在兑现之前掩盖交易痕迹。

尽管如此，ByBit 事件是历史上最大的加密黑客攻击之一，支持了对中心化交易所安全漏洞的担忧。ZachXBT 等区块链调查人员、交易所和安全团队的快速响应有助于减轻影响，但这次攻击进一步凸显了 Lazarus 等黑客组织的复杂策略。

随着 Bybit 现在重新运营，随着对被盗资金洗钱的调查继续进行，该行业仍处于高度警惕状态。

信息來源：https://hackread.com/investigators-link-bybit-hack-north-korea-lazarus-group/