作者：慢雾安全团队

背景

北京时间 2025 年 2 月 21 日晚，据链上侦探 ZachXBT 披露，Bybit 平台发生大规模资金流出的情况。此次事件导致超 14.6 亿美元被盗，成为近年来损失金额最大的加密货币盗窃事件。

链上追踪分析

事件发生后，慢雾安全团队立即发布安全提醒，并对被盗资产展开追踪分析：

根据慢雾安全团队的分析，被盗资产主要包括：

· 401,347 ETH（价值约 10.68 亿美元）
· 8,000 mETH（价值约 2,600 万美元）
· 90,375.5479 stETH（价值约 2.6 亿美元）
· 15,000 cmETH（价值约 4,300 万美元）

我们使用链上追踪与反洗钱工具 MistTrack 对初始黑客地址

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

进行分析，得到以下信息：

ETH 被分散转移，初始黑客地址将 400,000 ETH 以每 1,000 ETH 的格式分散到 40 个地址，正在继续转移。

其中，205 ETH 通过 Chainflip 换为 BTC 跨链到地址：

bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

cmETH流向：15,000 cmETH 被转移至地址：

0x1542368a03ad1f03d96D51B414f4738961Cf4443

值得注意的是，mETH Protocol 在 X 上发文表示，针对 Bybit 安全事件，团队及时暂停了 cmETH 提款，阻止了未经授权的提现行为，mETH Protocol 成功从黑客地址回收了 15,000 cmETH。

mETH 和 stETH 转移：8,000 mETH 和 90,375.5479 stETH 被转移到地址：

0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e

接着通过 Uniswap 和 ParaSwap 兑换为 98,048 ETH 后，又转移到：

0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92

地址 0xdd9 以每 1,000 ETH 的格式将 ETH 分散至 9 个地址，暂未转出。

此外，对攻击手法分析小节推出的黑客发起初始攻击的地址：

0x0fa09C3A328792253f8dee7116848723b72a6d2e

进行溯源，发现该地址的初始资金来自 Binance。#p#分页标题#e#

目前初始黑客地址：

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

余额 1,346 ETH，我们将持续监控相关地址。

事件发生后，慢雾第一时间通过攻击者获取 Safe 多签的手法以及洗币手法推测攻击者为朝鲜黑客：

可能利用的社会工程学攻击手段：

使用 MistTrack 分析，还发现了该事件的黑客地址与 BingX Hacker、Phemex Hacker 地址关联的情况：

ZachXBT 也实锤了本次攻击与朝鲜黑客组织 Lazarus Group 有关，该组织一直以实施跨国网络攻击和盗窃加密货币为主要活动之一。据了解，ZachXBT 提供的证据，包括测试交易、关联钱包、取证图表及时间分析等，都显示了攻击者在多次操作中使用了 Lazarus Group 常见的技术手段。同时，Arkham 表示，所有相关数据已经分享给 Bybit，帮助平台进一步展开调查。

攻击手法分析

在事件发生后当晚 23:44，Bybit CEO Ben Zhou 在 X 上发布声明，详细解释了此次攻击的技术细节：