Bybit 被窃 15 亿美元事件溯源：黑客利用 Safe 实施供应链攻击

美国联邦调查局（FBI）日前正式将 Bybit 遭受创纪录的窃亿15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来。与此同时 ，美元Bybit 的事件溯源实施首席执行官 Ben Zhou 宣布要对 Lazarus全面”开战“

FBI 表示，朝鲜应对此次加密货币交易所的黑客虚拟资产盗窃事件负责。该事件被归咎于 FBI 追踪的利用链攻一个特定集群 TraderTraitor
，该集群也被称为 Jade Sleet 、窃亿Slow Pisces 和 UNC4899。美元

FBI 称：“TraderTraitor 的事件溯源实施行为迅速
，已将部分被盗资产转换为比特币和其他虚拟资产，黑客并分散在多个区块链上的利用链攻数千个地址中 。预计这些资产将被进一步洗钱，香港云服务器窃亿并最终转换为法定货币。美元”

值得一提的事件溯源实施是，TraderTraitor 集群此前曾被日本和美国当局指控参与 2024 年 5 月从加密货币公司 DMM Bitcoin 窃取价值 3.08 亿美元加密货币的黑客事件。

朝鲜黑客的利用链攻常用攻击手法

TraderTraitor 以针对 Web3 行业的公司而闻名，通常诱骗受害者下载带有恶意软件的加密货币应用程序，从而实施盗窃 。此外，该集群还被发现会策划以工作为主题的社会工程活动，导致恶意 npm 包的模板下载部署
。

与此同时，Bybit 已启动赏金计划，以帮助追回被盗资金，同时指责 eXch 拒绝配合调查并协助冻结资产
。

Bybit 表示：“被盗资金已被转移到无法追踪或冻结的目的地 ，例如交易所
、混币器或跨链桥，或转换为可以冻结的稳定币
。我们需要所有相关方的合作，要么冻结资金，要么提供资金流动的云计算更新，以便我们继续追踪。”

攻击背后的技术细节

总部位于迪拜的 Bybit 还分享了由 Sygnia 和 Verichains 进行的两项调查的结论
，将此次攻击与 Lazarus 集团联系起来。

Sygnia 表示 ：“对三个签名者主机的取证调查表明
，攻击的根本原因是从 Safe{ Wallet} 基础设施中产生的恶意代码 。”

Verichains 指出：“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 时间 15:29:25 被恶意代码替换 ，高防服务器专门针对 Bybit 的以太坊多签冷钱包 。” 并补充说：“攻击设计为在下一次 Bybit 交易期间激活，该交易发生在 2025 年 2 月 21 日 UTC 时间 14:13:35。” Safe.Global 的 AWS S3 或 CloudFront 账户/API 密钥可能泄露或被攻破 ，从而为供应链攻击铺平了道路。

在一份单独声明中，多签钱包平台 Safe{ Wallet} 表示，此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实施的 ，影响了 Bybit 运营的账户。该公司进一步指出，源码库它已实施额外的安全措施来减轻攻击载体。

Lazarus 集团的历史与手法

Safe{ Wallet} 表示：“此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实现的，导致提交了伪装成恶意的交易
。Lazarus 是朝鲜国家支持的黑客组织
，以对开发者凭证进行复杂的社会工程攻击而闻名
，有时还结合零日漏洞利用。”

目前尚不清楚开发人员的源码下载系统是如何被入侵的，尽管 Silent Push 的一项新分析发现，Lazarus 集团在 2025 年 2 月 20 日 22:21:57 注册了域名 bybit-assessment[.]com ，该域名在加密货币被盗前几小时注册。

WHOIS 记录显示，该域名是使用电子邮件地址“trevorgreer9312@gmail[.]com”注册的 ，该地址此前已被确认为 Lazarus 集团用于另一个名为“Contagious Interview”活动的身份 。

该公司表示：“Bybit 劫案似乎是由朝鲜威胁行为组织 TraderTraitor 实施的
，TraderTraitor 也被称为 Jade Sleet 和 Slow Pisces，而加密货币面试骗局是由朝鲜威胁行为组织 Contagious Interview 领导的 ，该组织也被称为 Famous Chollima  。”

“受害者通常通过 LinkedIn 接触 ，他们在那里被社会工程学欺骗参与虚假的工作面试 。这些面试是目标恶意软件部署 、凭证收集以及进一步危害财务和公司资产的切入点 。”

据估计，自 2017 年以来 ，与朝鲜有关的行为者已经窃取了超过 60 亿美元的加密资产
。上周窃取的 5 亿美元超过了 2024 年全年从 47 起加密货币劫案中窃取的 34 亿美元 。