原創|Odaily星球日報( @OdailyChina )
作者|Wenser( @wenser 2010 )
北京時間2 月21 日晚上 11 點 20 分,ZachXBT發文表示:「監測到 Bybit 有可疑資金流出,規模高達 14.6 億美元」。根據Beosin Trace 監測, Bybit 共被盜ETH 及衍生性商品達514, 723 枚。隨後,Bybit 聯創Ben Zhou發文證實了Bybit 官方冷錢包被盜一事,並著手進行安全處理。
Odaily星球日報將於本文對此事進行簡要跟踪,供讀者參考。
涉及資金主要為ETH,涉案規模達 14.6 億美元
11 點 20 分,ZachXBT 發布警示消息後,Odaily星球日報在稍作驗證後,第一時間進行了跟進。
當時可以確定的消息是,駭客相關地址為0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2;在盜取資金後,其在DEX 上將mETH stETH 快速兌換為了ETH。
駭客第一時間進行 Swap 兌換
就在外界還在猜測,“規模如此之大的一筆資金的流動,是否為Bybit 官方整理錢包或有其他目的”之時,ZachXBT 很快給出了新的提示:“我的消息來源確認Bybit 資金流出是一起安全事件(My sources confirm its a security incident)。”
此外,ZachXBT 向各大交易所、服務商等相關人員提醒道:「建議封鎖以下EVM 地址——
0x47666fab8bd0ac7003bce3f5c3585383f09486e2;
0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e;
0x36ed3c0213565530c35115d93a80f9c04d94e4cb;
0x1542368a03ad1f03d96D51B414f4738961Cf4443;
0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。 」
此舉意在第一時間切斷駭客清洗資金的CEX 管道,避免Bybit 被竊資金的進一步流失。
根據 Beosin Trace 監控統計,被竊資產分別包括:
401, 347 枚ETH,價值11.2 億美元;
90, 376 枚stETH,價值2.5316 億美元;
15, 000 枚cmETH,價值4, 413 萬美元;
8, 000 枚mETH,價值2300 萬美元。
目前資金分成1 萬ETH 一組沉澱於40 多個以太坊地址,所有駭客地址都已加入Beosin KYT 標籤庫中,Beosin KYT 將對所有涉及駭客地址的資金轉帳進行告警。 Beosin 安全團隊分析這次事件的攻擊手法和WazirX 比較類似,都是透過前端UI 欺騙,讓多簽錢包簽署了惡意的內容,篡改了多簽錢包的邏輯實現合約,導致多簽錢包的資金被轉出。
Bybit 官方回應:多簽錢包交易遭攻擊竄改,其餘冷錢包資產安全,交易所提幣正常
Bybit 共同創辦人Ben Zhou 在X 平台對外發聲:「Bybit ETH 多簽冷錢包大約1 小時前向Bybit 熱錢包進行了一筆轉賬。這筆特定交易可能遭到了篡改,中間所有多簽錢包簽署者都看到了篡改的UI 界面顯示了正確的轉賬地址,且網站鏈接來自@safe代碼合約了特定錢包的錢包中的所有ETH 轉帳到了某個未知地址。
此外,Ben Zhou 也第一時間向外界發出求助信息: “我們會隨時向大家公佈該事件的最新進展。如果任何團隊能幫助我們追踪被盜資金,將不勝感激。”
鏈上資金動向:駭客正在快速砸盤 ETH,已將 10000 枚 ETH 轉入 39 個地址
11 點 35 分,Arkham 監測到,Bybit 流出的14 億美元的ETH 和stETH 已經轉移到新的地址進行出售。截止當時,駭客已出售價值2 億美元的stETH。鏈上追蹤網址為https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 。
零點整,ZachXBT 再次更新最新鏈上資金動向,其中, 10000 枚ETH 被黑客分散轉入39 個地址當中,此外,該名黑客還將10000 枚ETH 轉入另外 9 個地址。
12 點 18 分,根據Arkham監測統計,價值約 1 億美元的ETH (約40 萬枚)現已從駭客原始位址轉移至新錢包。
鏈上資金動向
在截止撰稿前, 駭客原始地址僅剩餘 3,66.9 萬美元資產,其中ETH 持倉量驟減至1,346 枚。
鏈上訊息
根據安全公司慢霧創辦人餘弦小範圍調查後發文表示,綜合搞Safe 多簽的手法及目前洗幣手法,初步懷疑此次事件或為朝鮮黑客所為,具體信息仍然有待進一步的追踪。
隨後,慢霧隨後發布Bybit 攻擊者操作細節:
一個惡意的實施合約於UTC 2025-02-19 7: 15: 23 被部署: https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516
UTC 2025-02-21 14: 13: 35 ,攻擊者利用三位所有者簽署交易,用惡意合約取代Safe 的實施合約: https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a410f52e3a983b67abf4714448a418386d
攻擊者隨後利用惡意合約中的後門函數「sweepETH」和「sweepERC 20 」竊取熱錢包。
Bybit 被竊事件餘波:目前處於可控範圍內
高達 14.6 億美元的ETH 相關資產,創 2025 年乃至 2023 年以來最大的安全事件被盜金額,由此也進一步加劇了市場對於ETH 價格表現以及Bybit 資產安全的擔憂。針對前者,目前來看短期確實有一定風險。
但中長期來看,市場擔憂應當無虞。有觀點認為,這是因為ETH 是BTC 以外最去中心化的資產,駭客大概率會持有多數ETH,而非直接低價砸盤。
針對後者,Bybit 官方也第一時間回應了。 22 日零點7 分,Bybit 聯創Ben Zhou發文回應道: “即使這次黑客攻擊造成的損失未能追回,Bybit 的資產仍然是1: 1 保證的,我們可以承擔損失。”盡顯老牌交易所穩紮穩打的底氣與自信。
關於這一點,除了交易所常見的梅克爾樹儲備金鏈上證明以外,根據Bybit 聯創兼CEO Ben Zhou先前在採訪中提到的資訊也可作為佐證。其中,他提到“Bybit 公司資產中,約80% 是穩定幣,剩餘部分以法幣形式存在。這種配置的核心目標是確保交易所的財務穩健,而不是追求資產增值。”
多方援助、表態
事件發生後,CZ 回覆Ben Zhou 推文表示:「這不是一個容易處理的情況。建議暫時停止所有提款,作為標準的安全預防措施。如有需要,將提供任何幫助。」幣安聯創何一回應Bybit 首席執行官Ben Zhou 稱,「若有需要將提供支持」。
TRON 創始人孫宇晨發文表示,“正在密切關注Bybit 安全事件,將盡全力協助合作夥伴追踪相關資金,並提供一切力所能及的支持。”
此外,鏈上分析師 @ai_ 9684 xtpa 分析認為:“ Ethena 有21% 的USDe 在Bybit 中執行Delta 中性對沖策略,其中ETH 部分價值2.27 億美元,不確定是否會受影響。Bybit確認被盜後,ENA 已收回11.5% 並收回今日漲幅。”
Ethena Labs 隨後發文稱,已註意到 Bybit 事件,所有支持USDe 的現貨資產均透過場外託管解決方案持有,任何交易所(包括Bybit)中均沒有存放現貨價值儲備資金。目前Bybit 對沖頭寸的未實現損益總額不足3000 萬美元,不到儲備基金的一半,USDe 有足夠的抵押餘額,會在收到更新後及時提供更多資訊。
最新消息,Bybit CEO Ben Zhou 在X 平台發文表示,即將進行直播回答所有問題。
Odaily星球日報也將持續追蹤Bybit 資產被竊事件的最新消息,期待此事有一個圓滿的處理結局。
