Bybit被盜超15億美元資產，為什麼？

Bybit被盜超15億美元資產，為什麼？北京時間 2 月 21 日晚上 11 時 20 分，ZachXBT 發文表示：“監測到 Bybit 有可疑資金流出，規模超 14.6 億美元”。根據 Beosin Trace 監測，Bybit 共計被盜 ETH 及衍生品達 514, 723 枚，資金規模超 15 億美元。隨後，Bybit 聯創 Ben Zhou 發文證實瞭 Bybit 官方冷錢包被盜一事，並著手進行安全處理。

下面腳本之傢小編將給大傢詳細介紹Bybit被盜的原因以及Bybit被盜的處理結果，下面一起看看吧！

涉及資金主要為 ETH，涉案規模超 15 億美元，或為金融史上最大被盜事件

北京時間 2 月 21 日 11 時 20 分，ZachXBT 發佈警示消息後，在稍作驗證後，第一時間進行瞭跟進。

當時可以確定的消息是，黑客相關地址為 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2；在盜取資金後，其在 DEX 上將 mETH & stETH 快速兌換為瞭 ETH。

黑客第一時間進行 Swap 兌換

就在外界還在猜測，“規模如此之大的一筆資金流動，是否為 Bybit 官方整理錢包或有其他目的”之時，ZachXBT 很快給出瞭新的提示：“我的消息來源確認 Bybit 資金流出是一起安全事件（My sources confirm it's a security incident）。”

此外，ZachXBT 向各大交易所、服務商等有關人員提醒道：“建議拉黑以下 EVM 地址——

0x47666fab8bd0ac7003bce3f5c3585383f09486e2；
0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e；
0x36ed3c0213565530c35115d93a80f9c04d94e4cb；
0x1542368a03ad1f03d96D51B414f4738961Cf4443；
0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。”

此舉意在第一時間切斷黑客清洗資金的 CEX 渠道，避免 Bybit 被盜資金的進一步流失。後續，Bitunix、OKX 等加密交易所相繼回應，已拉黑 Bybit 安全事件相關的黑客地址。

根據 Beosin Trace 監測統計，共計被盜 ETH 及衍生品 514, 723 枚，分別包括：

401, 347 枚 ETH，價值 11.2 億美元；
90, 376 枚 stETH，價值 2.5316 億美元；
15, 000 枚 cmETH，價值 4, 413 萬美元；
8, 000 枚 mETH，價值 2300 萬美元。

彼時，被盜資金按照 10000 枚 ETH 一組被分散轉入 40 多個以太坊地址。Beosin 安全團隊分析這次事件的攻擊手法和 WazirX 比較類似，都是通過前端 UI 欺騙，讓多簽錢包簽署瞭惡意內容，篡改瞭多簽錢包的邏輯實現合約，導致多簽錢包的資金被轉出。

Bybit 官方首次回應：多簽錢包交易遭攻擊篡改，其餘冷錢包資產安全，交易所提幣正常

事件發生後，Bybit 聯合創始人 Ben Zhou 於 X 平臺第一時間對外發聲：“Bybit ETH 多簽冷錢包大約 1 小時前向 Bybit 熱錢包進行瞭一筆轉賬。這筆特定交易可能遭到瞭篡改，中間所有多簽錢包簽署者都看到瞭篡改的 UI 界面顯示瞭正確的轉賬地址，且網站鏈接來自 @safe 。然而，簽名信息是要更改我們 ETH 冷錢包的智能合約邏輯。這導致黑客控制瞭我們多簽簽署的特定 ETH 冷錢包，並將冷錢包中的所有 ETH 轉賬到瞭某未知地址。請放心，Bybit 其他冷錢包都是安全的，CEX 內部所有提款均正常運行。”

此外，Ben Zhou 也向外界發出求助信息：“我們會隨時向大傢公佈該事件的最新進展。如果任何團隊能幫助我們追蹤被盜資金，將不勝感激。”

鏈上資金動向：黑客此前將近 50 萬枚 ETH 分散轉入 51 個地址，現已將部分 ETH 跨鏈清洗為 BTC

21 日 11 時 35 分，Arkham 監測到，Bybit 流出的 14 億美元的 ETH 和 stETH 已經轉移到新的地址進行出售。截止當時，黑客已出售價值 2 億美元的 stETH。鏈上追蹤地址為 https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2。

21 日晚上 12 時整，ZachXBT 再次更新最新鏈上資金動向，其中，10000 枚 ETH 被黑客分散轉入 39 個地址當中，此外，該名黑客還將 10000 枚 ETH 轉入另外 9 個地址。22 日凌晨 0 時 18 分，據 Arkham 監測統計，價值約 1 億美元的 ETH （約 40 萬枚）現已從黑客原始地址轉移至新錢包。

據鏈上分析師餘燼最新監測信息顯示，或因 cmETH 的流動性池子非常淺，Bybit 被盜的 1.5 萬枚 cmETH 解質押申請被 cmETH 提款合約退回，或可被成功攔截，避免進一步損失（此事已得到 mETH Protocol 官方證實）。除此之外，Bybit 的被盜 ETH 數量是 49.9 萬枚 (價值約 13.7 億美元)，被黑客分散存放在 51 個地址中。

鏈上資金動向

截止撰稿前，黑客原始地址僅剩餘 366.9 萬美元資產，其中 ETH 持倉量驟減至 1346 枚。

鏈上信息

據安全公司慢霧創始人餘弦小范圍調查後發文表示，綜合搞 Safe 多簽的手法及目前洗幣手法，初步懷疑此次事件或為朝鮮黑客所為，具體信息仍然有待進一步的追蹤。

慢霧隨後也發佈瞭 Bybit 黑客操作的技術細節：

一個惡意的實施合約於 UTC 2025-02-19 7: 15: 23 被部署： https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516
UTC 2025-02-21 14: 13: 35 ，攻擊者利用三位所有者簽署交易，用惡意合約替換 Safe 的實施合約： https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
攻擊者隨後利用惡意合約中的後門函數“sweepETH”和“sweepERC 20 ”竊取熱錢包。

22 日凌晨 3 時許，該消息得到瞭進一步證實。據 Arkham 平臺發文，ZachXBT 在北京時間 2 月 22 日凌晨 03: 09 時提交瞭確鑿證據，證明朝鮮黑客組織 Lazarus Group 策劃瞭此次攻擊，並附帶測試交易分析、相關錢包連接及取證圖表。該報告已提交給 ByBit 團隊協助調查。此外，ZachXBT 於評論區表示，根據他本人及 CF 的 Josh 調查，Bybit 黑客攻擊與 Phemex 黑客攻擊存在關聯。

22 日下午 3 時許，鏈上偵探 ZachXBT 及鏈上分析師餘燼相繼發文警示， Lazarus Group 黑客正將 5000 枚 ETH 通過中心化混幣器 eXch 及跨鏈橋 Chainflip 清洗為 BTC。

針對此事，Bybit CEO Ben Zhou 也第一時間做出回應表示，已監測到黑客正試圖通過 Chainflip 轉移 BTC，希望跨鏈橋項目幫助 Bybit 阻止並防止進一步將資產轉移到其他鏈。Bybit 將很快向任何幫助其阻止或追蹤導致資金追回的資金的人發佈賞金計劃。

23 日 12 時許，Bybit CEO Ben Zhou 喊話中心化混幣器 eXch：“此時此刻，其實與 Bybit 或任何實體無關，而是我們作為一個行業對待黑客的一般態度，真心希望@eXch 能夠重新考慮並幫助我們阻止資金從他們那裡流出。我們也得到瞭 Interpool 和國際監管機構的幫助，幫助阻止這些資金不僅僅是在幫助 Bybit。”

值得一提的是，此前 eXch 拒絕瞭 Bybit 提出的資金攔截請求，有較大量 ETH 通過 eXch 混幣轉移，安全公司慢霧表示 eXch 的態度一貫如此。令人想笑的是，據鏈上偵探 ZachXBT 於此前發文披露，eXch（中心化混幣器）團隊在幫助 Bybit 安全事件黑客團隊 Lazarus Group 清洗 3500 萬美元之後，錯將 34 枚 ETH（價值 9.6 萬美元）發送至另一交易所熱錢包地址，讓人不得不感嘆一句“鏈上小醜🤡，不過如此”。

Bybit 被盜事件餘波：目前處於可控范圍內

超 15 億美元的 ETH 相關資產，創 2025 年乃至 2023 年甚至金融行業有史以來最大的安全事件被盜金額，由此也進一步加劇瞭市場對於 ETH 價格表現以及 Bybit 資產安全的擔憂。

針對前者，目前來看短期確實存在一定風險。但中長期來看，市場擔憂應當無虞。有觀點認為，這是因為 ETH 是除 BTC 以外最去中心化的資產，黑客大概率會持有多數 ETH，而非直接低價砸盤。且 ETH 兌換為穩定幣也將遭到密切監控與封禁處理。

針對後者，Bybit 官方也第一時間做出瞭回應。22 日零時 7 分，Bybit 聯創 Ben Zhou 發文回應道：“即使這次黑客攻擊造成的損失未能追回，Bybit 的資產仍然是 1: 1 保證的，我們可以承擔損失。”盡顯老牌交易所穩紮穩打的底氣與自信。

關於這一點，除瞭交易所常見的默克爾樹儲備金鏈上證明以外，根據 Bybit 聯創兼 CEO Ben Zhou 此前在采訪中提到的信息也可作為佐證。其中，他提到“Bybit 公司資產中，約 80% 是穩定幣，剩餘部分以法幣形式存在。這種配置的核心目標是確保交易所的財務穩健，而不是追求資產增值。”

多方表態：CZ、何一、孫宇晨、Bitget、MEXC 言行支持，與 Bybit 同在

事件發生後，CZ 回復 Ben Zhou 推文表示：“這不是一個容易處理的情況。建議暫時停止所有提款，作為標準的安全預防措施。如有需要，將提供任何幫助。”幣安聯創何一回應 Bybit 首席執行官 Ben Zhou 稱，“若有需要將提供支持”。

TRON 創始人孫宇晨發文表示，“正在密切關註 Bybit 安全事件，將盡全力協助合作夥伴追蹤相關資金，並提供一切力所能及的支持。”

KuCoin CEO BC Wong 也對 Bybit 表示瞭支持，並表示已啟動協助監控資金流向、凍結可疑資產的工作。

此外，鏈上分析師 @ai_9684xtpa分析認為：“Ethena 有 21% 的 USDe 在 Bybit 中執行 Delta 中性對沖策略，其中 ETH 部分價值 2.27 億美元，不確定是否會受影響。Bybit 確認被盜後，ENA 已下跌 11.5% 並收回今日漲幅。”Ethena Labs 隨後發文稱，已註意到 Bybit 事件，所有支持 USDe 的現貨資產均通過場外托管解決方案持有，任何交易所（包括 Bybit）中均沒有存放現貨價值儲備資金。目前 Bybit 對沖頭寸的未實現損益總額不足 3000 萬美元，不到儲備基金的一半，USDe 有足夠的抵押餘額，會在收到更新後及時提供更多信息。

22 日凌晨，Bybit CEO Ben Zhou 於 Bybit 直播平臺第一時間與外界進行瞭線上露面溝通，其中提到：

首先，Bybit 通常每三周進行一次內部資產轉賬，取決於我們熱錢包裡的餘額，每當熱錢包達到我們認為需要補足的基準時，就會發生轉賬交易，而我是轉賬交易的最後一個簽署者，當時我檢查瞭鏈接、UI、目標地址、代碼等信息，但並沒有檢查地很徹底，黑客以某種方式成功做瞭所有簽名者計算機的 UI。隨後我們確定瞭黑客攻擊和被簽名的代碼錢包是安全錢包下的以太坊冷錢包，其他冷錢包沒受到影響。比特幣是我們的主要儲備，且很安全。

其次，Bybit 方面正在聯系我們的合作夥伴向我們提供貸款。即使我們想買，也不會立即購買以太坊，目前我們正考慮從合作夥伴獲得過橋貸款以彌補被盜資金， 80% 已經獲得保障。

最後，Ben 強調：“所有產品和服務照常運行。目前我們不會停止提現，我們仍在處理提現。”

事後，Bitget 第一時間向 Bybit 轉入 40000 枚 ETH，價值超 1 億美元，以實際行動予以最大支持。

Bitget CEO Gracy Chen 隨後於 X 平臺發文聲援 Bybit 稱：“Bybit 是值得尊敬的競爭對手跟合作夥伴，這次的損失雖然很大，但也就是他們一年的利潤，我相信客戶資金是 100% 安全的，沒必要恐慌和擠兌。”

22 日上午 9 時許，另一交易所 MEXC 旗下熱錢包陸續向 Bybit 冷錢包轉入 12, 652 枚 stETH （約合 3375 萬美元）。據鏈上分析師餘燼監測，Bybit 目前已收到 64, 452 枚 ETH （約合 1.7 億美元）的借款支援。主要來自 Bitget、從幣安提款的某機構以及 MEXC。

Bybit 官方回應：儲備資金充足，所有提現請求已處理完畢

凌晨 3 時許，針對此前資產被盜一事，Bybit 官方首次對外發佈事件詳細公告：北京時間 2 月 21 日 20: 30 ，Bybit 在例行轉賬過程中檢測到以太坊冷錢包中存在未經授權的活動。此次轉賬系 Bybit 官方從 ETH 多重簽名冷錢包向熱錢包轉移 ETH 相關計劃的一部分。不幸的是，交易被一個復雜的攻擊所操縱，該攻擊改變瞭智能合約邏輯並隱藏瞭簽名界面，使攻擊者能夠控制 ETH 冷錢包。因此，總資產價值超過 15 億美元的逾 40 萬 ETH 和 stETH 被轉移至未知地址。

被盜資金：價值超過 15 億美元的 ETH 和 stETH。

主要原因：在計劃中的常規轉賬過程中，ETH 多簽冷錢包遭轉賬過程的惡意操縱。

Bybit 重申以下重點：Bybit 旗下所有其他冷錢包均為安全狀態，客戶資金未受影響，請警惕其他騙局；盡管提現請求激增，過高的請求量可能會造成提現延遲，但所有提現正在正常處理中， 70% 的待處理請求已獲處理；Bybit 的儲備金雄厚且得到 1: 1 支持，所有客戶資產都已獲充分保障，用戶可以在儲備證明（PoR）網頁上查看相關信息。

與此同時，Bybit 正在與領先的區塊鏈取證專傢合作，追蹤被盜資金並解決情況；旗下安全團隊正在調查根本原因，特別關註 Safe.global 平臺用戶界面可能存在的潛在漏洞，該漏洞可能在交易過程中被利用。Bybit 資產管理規模超過 200 億美元，如有必要，將使用過橋貸款以確保用戶資金可用。Bybit 平臺及所有其他服務，包括交易產品、卡片和 P2P，均正常運行。

Bybit CEO：提現請求已處理完畢，所有功能及產品正常運行

今日 8 時 54 分，Bybit 聯創兼 CEO Ben Zhou 發文表示：“自黑客攻擊（10 小時前）以來，Bybit 經歷瞭我們經歷過的最多提現，我們總共收到瞭超過 35 萬個提現請求，到目前為止，還有大約 2100 個提現請求待處理。總體而言， 99.994% 的提現請求已順利完成。如果您的提現已完成，請在此處留言。盡管我們可能遭遇瞭歷史上任何平臺（包括銀行、加密、金融）最嚴重的黑客攻擊，但所有 Bybit 功能和產品仍然正常運行。整個團隊整夜未眠，處理和回答客戶的問題和關切。全員出動。放心，我們與您同在。”

上午 10 時 51 分，Bybit 聯創兼 CEO Ben Zhou 再次發文表示，“距離歷史上最嚴重的黑客攻擊過後 12 小時。所有提現均已處理。Bybit 提現系統現已完全恢復正常，用戶可以提取任何金額，並且不會有任何延遲。感謝用戶的耐心等待，Bybit 對這種情況的發生感到抱歉。Bybit 將在未來幾天內發佈完整的事件報告和安全措施。後續將持續向大傢通報更新。”

Bybit 最新行動：一天內累計購買超 10.6 萬枚 ETH，或為 ETH 短期上漲主因

23 日下午 3 時許，據鏈上分析師餘燼監測，可能是 Bybit 或其關聯方的地址（0x 2 E 4…b 77）在 20 分鐘前又從 Wintermute 收到 34, 743 枚 ETH （9775 萬美元）。他們很可能在最近一天多的時間裡累計購買瞭 106, 498 枚的 ETH （2.9493 億美元）：通過 Galaxy Digital、FalconX、Wintermute 進行。這個地址最早是從 Bybit 的冷錢包處收到 1 億 USDT 並轉到 FalconX 和 Galaxy Digital 後開始收到 ETH。Galaxy Digital、FalconX、Wintermute 都是從各個 CEX 提出 ETH 後轉到 0x 2 E 4…b 77 地址，應該都是在二級市場上買的。

此外，23 日上午 10 時許，據 CryptoQuant 研究主管 Julio Moreno 披露數據稱，Bybit 的 ETH 儲備已回升至約 16 萬枚。

Bybit ETH 儲備量， 2 月 21 日高達 45 萬枚，被盜超 40 萬枚， 23 日回升至 16 萬枚左右

事件主因：Safe 的問題還是 Bybit 內部遭攻擊？或許兩者兼而有之

Safe 回應：排查後未發現安全漏洞，其他 Safe 地址不受影響

Bybit 此次的被盜事件焦點，集中在 Safe 多簽錢包簽名環節的惡意操縱與攻擊，針對此事，多簽錢包平臺 Safe 官方於 22 日上午 9 時許發文給出回應：“Safe 錢包的用戶界面根據 ByBit 的請求顯示瞭正確的交易信息，但一個具有所有有效簽名的惡意交易已在鏈上執行。調查結果顯示：

未發現代碼庫泄露：對 Safe 代碼庫進行瞭徹底檢查，未發現泄露或修改的證據。
未發現惡意依賴項：沒有跡象表明 Safe 代碼庫中的惡意依賴項會影響交易流（即供應鏈攻擊）。
在日志中未檢測到對基礎設施的未經授權的訪問。
沒有其他 Safe 地址受到影響。

此外，目前 Safe 官方暫時暫停瞭 Safe Wallet 功能，以用戶確保對 Safe 平臺的安全性有絕對的信心。盡管調查顯示沒有證據表明 Safe Wallet 前端本身遭到入侵，但我們正在進行更徹底的審查。”

慢霧 CISO 推測：Bybit 攻擊者或攻破官方人員電腦，且進行內網監控以進行攻擊

針對 Bybit 被盜一事，慢霧 CISO 23 pds 22 日凌晨 1 時許發文推測：“ Bybit 攻擊者一次偽造簽名攻擊就拿走瞭 safe owner 權限，推測一定有不止一位的 macOS 或 Windows 電腦被控瞭，而且攻擊者可能在內網呆瞭有段時間，能監控內部聊天、轉賬時間等信息。”

慢霧餘弦：Safe 前端遭篡改導致問題，Bybit 並非個案

針對 Safe 官方的回應，慢霧創始人餘弦最新發文表態稱，“Safe 合約沒問題，問題在非合約部分，前端被篡改偽造達到欺騙效果。這不是個案。朝鮮黑客去年就搞定過好幾傢，如：
WazirX 2.3 億美元-Safe 多簽；
Radiant Capital 5000 萬美元- Safe 多簽；
DMM 3.05 億美元-Gonco 多簽。
這種攻擊手法工程化成熟。其他傢也需要多註意，多簽可能不止 Safe 存在這類攻擊點。”

安全社區：Bybit 攻擊事件涉及社工技巧，誘導操作人員將變更合約錯認為轉賬

據安全社區 Dilation Effect 發文表示：“相比前幾次類似事件，Bybit 事件裡隻需要拿下一個簽名者就可以完成這次攻擊，因為攻擊者用到瞭一個‘社工’技巧。

分析鏈上交易可以看到，攻擊者通過 delegatecall 執行一個惡意合約的 transfer 函數，transfer 代碼是用 SSTORE 指令修改 slot0 的值，從而將 Bybit 冷錢包多簽合約的實現地址變更成瞭攻擊者地址。這裡的 transfer 非常巧妙，隻需要搞定發起這筆多簽交易的人/設備，後面的幾個審核人員看到這個 transfer 時，會大大降低警惕。因為正常人看到 transfer 以為就是轉賬，誰知道竟然是在變更合約。攻擊者的手法又升級瞭。”

以上就是腳本之傢小編給大傢分享的Bybit被盜的詳細介紹瞭，我們將持續關註Bybit被盜事件的進度！

原创文章，作者：fanbi，如若转载，请注明出处：http://fanbi.net/btc/18547