15亿美元加密货币盗窃案后续！FBI曝光朝鲜黑客技术细节

FBI将Bybit平台遭黑客攻击致近15亿美元以太坊被盗事件归因于与Lazarus有关的朝鲜黑客组织TraderTraitor，黑客通过篡改Safe{Wallet}代码转移资金，Bybit启动赏金计划追回部分资金。

FBI将 Bybit 平台的黑客攻击归咎于朝鲜黑客组织 TraderTraitor，随着更多技术细节的曝光，这一事件的来龙去脉逐渐清晰。

Bybit 平台在 2 月 21 日遭受攻击，导致近 15 亿美元的以太坊加密货币被盗。此次攻击迅速被指向朝鲜黑客，尤其是臭名昭著的 Lazarus 组织。

FBI 在周三发布的一份警报中表示，他们自 2022 年以来一直在监控的 TraderTraitor 是此次攻击的幕后黑手。FBI 过去曾指出，TraderTraitor 是 Lazarus 组织的另一个名称，但网络安全行业的部分成员将其描述为专门针对加密货币攻击的 Lazarus 行动。Lazarus 组织还以从事网络间谍活动和破坏性行动而闻名。

FBI 表示：“TraderTraitor 的行动者迅速行动，将部分被盗资产转换为比特币和其他虚拟资产，并分散到多个区块链上的数千个地址。预计这些资产将进一步被清洗，并最终转换为法定货币。”

FBI 此前还曾将 TraderTraitor 与从 Bitcoin.DMM.com 盗取 3.08 亿美元加密货币的事件联系起来。该机构已公布了一份朝鲜威胁行为者已知使用的加密货币地址列表。

Bybit 声称自己是全球第二大加密货币交易所（按交易量计算），已启动漏洞赏金计划，以努力追回被盗资金，向成功冻结资金的实体提供追回金额的 5%，并向帮助追踪资金的实体提供 5%。

然而，截至目前，只有 3%（4200 万美元）的被盗加密货币被冻结，这是在黑客攻击曝光后不久被阻止的金额——此后似乎没有其他资金被追回。目前近 9500 万美元被标记为“等待回应”。

Bybit 表示，已向帮助追踪和冻结资金的实体支付了超过 400 万美元的赏金。该公司指出，一些加密货币服务拒绝合作。

Bybit 联合创始人兼首席执行官 Ben Zhou 表示：“我们已指派一个团队来维护和更新这个网站，我们将不会停止，直到 Lazarus 或行业中的恶意行为者被消除。未来，我们还将向其他 Lazarus 的受害者开放这个漏洞赏金平台。”

该加密货币交易所已向客户保证，即使被盗资金无法追回，他们的资产也是有保障的，公司依然具有偿付能力。

Bybit 已聘请 Sygnia 和 Verichains 对此次事件进行调查，这些公司声称已确定了根本原因——攻击涉及来自 Safe{Wallet} 基础设施（特别是 AWS S3 存储桶）的恶意代码，没有迹象表明 Bybit 自己的基础设施被攻破。

Safe{Wallet} 是一个去中心化托管协议和集体资产管理平台，发表声明确认其成为 Lazarus 黑客的目标，黑客攻破了一名 Safe{Wallet} 开发者的机器。该公司指出，其智能合约未受影响，前端及其服务的源代码也未受影响。

根据目前掌握的信息，攻击者似乎在 2 月 19 日将一个恶意的 Safe{Wallet} JavaScript 文件替换为恶意代码，该代码针对 Bybit 的以太坊冷钱包，设计在下一次交易期间激活，这次交易发生在 2 月 21 日。

恶意代码在签名过程中操纵了交易内容，使其看起来像是将资金转移到正确的地址，而实际上资金却转入了黑客控制的地址。

攻击者随后迅速从 Safe{Wallet} JavaScript 文件中移除了恶意代码。

Chainalysis 于周三发布的《2025 年加密货币犯罪报告》显示，根据目前收集到的数据，2024 年用于非法活动的加密货币地址收到了大约 400 亿美元，但预计一旦所有数据被分析，这一金额将增加到 510 亿美元。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://www.securityweek.com/fbi-says-north-korea-hacked-bybit-as-details-of-1-5b-heist-emerge/

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：15亿美元加密货币盗窃案后续！FBI曝光朝鲜黑客技术细节