朝鲜黑客组织所为？为金将军偷了14亿美金

2025年2月21日，Bybit这家大名鼎鼎的加密货币交易所被黑了，损失高达14.6亿美元，直接创下加密圈15年来最惨烈的单次攻击纪录。

链上侦探ZachXBT和Arkham Intelligence立马跳出来查，分析了测试交易、钱包关联啥的，最后锁定这事儿是朝鲜的黑客团伙Lazarus Group干的。

而慢雾团队

2024 年 6 月以来，慢雾安全团队陆续收到多家团队的邀请，对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查，我们完成了对黑客攻击手法和入侵路径的复盘。结果表明，这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪，我们确认攻击者正是 Lazarus Group。

Lazarus Group，中文叫拉撒路小组，就是个超级牛的网络黑帮，差不多2007年就冒头了，外界都觉得它是朝鲜政府的“打手”，归侦察总局第121局管，专门搞网络攻击捞钱，帮国家躲制裁、搞搞武器。

……

再说回这次黑客事件，到底怎么被偷的？

现在交易所通常都会用冷钱包和多签钱包保存大宗资产，冷钱包是离线脱网的，多签钱包则需要多个不同的人同时签署才能转账，这两种钱包都不是纯粹意义上的黑客可以攻陷的，所以事发后我很好奇朝鲜人是怎么做到的。

从目前透露的信息看，是多签钱包的其中一个授权人的电脑被黑了，伪造了一个假的前端ui，表面看是正常转账，但底下内容是授权恶意合约。第一个人被骗了不自知，发出去的命令，后面两个人也没仔细检查，最终3个人都确认同意，玩完。

如果你们没看懂，我再举个通俗的场景比喻：

公司财务部为了安全，每次转账都要求三个会计审批付款，骗子骗取了其中一个会计的信任，伪造了完全相同的付款单（金额、收款方都正确），但实际付款单背面用极小的字写着“同时授权修改公司账户权限”。三个会计只核对了正面信息就签字，导致账户授权骗子接管。

这里面最核心的步骤是朝鲜黑客要黑掉第一个签署人的电脑，我不知道是怎么做到的，如果没有内鬼配合，很难想象纯靠互联网就能定位攻击。内鬼有可能是潜伏入职的朝鲜码农，也有可能是被收买的工作人员。这几年区块链行业招募东亚面孔的人都很谨慎，因为纯靠长相很难精确区分中、日、韩、朝。

……

再讲讲后续，14亿市值的eth被偷后已经分转到51个不同的匿名地址，如果是普通黑客，那就可以尝试谈判，给10-20%赏金双方和解。但是朝鲜黑客从来不和解，他们都是为国家和将军做事，没有谈判的权利和空间。

但这次14亿美元的资产规模实在太大，大到很难在公链上不留痕迹的洗干净。tornado（混币器）的规模也才5亿美元，你扔14亿进去，就好比让姚明去幼儿园藏起来。

目前双方是僵持住了，bybit希望行业内更多人协助跟踪和围剿这笔巨款，阻止对方变现，朝鲜那边倒也不着急，他们短期内洗不了，但是可以放长线慢慢洗。

这14亿的eth不能直接卖成美元稳定币，那样会被追踪冻结的，他们能操作的具体路径大概是分批把eth换成btc，然后再化整为零，弄成成千上万的小账户，从一些亚洲的交易平台上卖出。这需要大量伪造kyc的账户，就算有朝鲜政府的支持也很难搞，所以洗钱的进度会很慢很慢，可能要5-10年。

说实话每次吃到黑客的瓜都颇为感慨，这些人一次攻击得手就是几千万几个亿几十亿，难以想象这是什么样的体验。我只体验过被黑的滋味，一次资产授权漏洞被偷走4万美元，当时太沮丧了，还有就是深深的无力感。

原文始发于微信公众号（Hacking黑白红）：朝鲜黑客组织所为？为金将军偷了14亿美金