MetaMask的安全负责人Taylor Monahan表示，Bybit的黑客已将至少209,384 ETH（约4.8亿美元）转移到比特币，消息来源于The Block。这代表了从交易所被盗的约400,000 ETH的一半以上——不包括其他被抽走的代币。

根据Arkham Intelligence的说法，这笔金额中至少有2.4亿美元是通过THORchain洗钱的，该公司正在追踪与黑客组织相关的数字钱包。Arkham在一篇推文中表示，被盗的加密货币“主要被兑换为原生比特币”。

上周五，Arkham Intelligence表示朝鲜的Lazarus集团已黑客入侵Bybit，造成超过15亿美元的损失，引用了在线侦探ZachXBT提供的信息。

联邦调查局随后确认，此次黑客攻击是由朝鲜的恶意“TraderTraitor”行为者实施的，该术语包括Lazarus集团。

“TraderTraitor行为者正在迅速行动，已将部分被盗资产转换为比特币和其他虚拟资产，分散在多个区块链的数千个地址上，”FBI在其公告中表示。“预计这些资产将进一步洗钱，最终转换为法定货币。”

根据以太坊安全专家的说法，这次15亿美元的黑客攻击比以往更难追踪。Lazarus以分散资金和使用多个协议转移资金而闻名，但这次的攻击涉及数千笔独立交易。

“这就是Bybit黑客攻击的追踪情况，”化名研究员SomaXBT在推特上表示，抱怨资金分散的复杂性。“[这只是] 2次跳转（每次10 ETH）的追踪。我的Mac Air几乎要烧起来才能加载这些交易。”

总的来说，黑客在此次攻击中抽走了超过400,000美元的ETH（当时约11亿美元），90,000美元的stETH，15,000美元的cmETH和8,000美元的cETH。然而，目前尚不清楚黑客持有多少ETH，因为一些资产——包括$4300万美元的mETH——已被冻结。

MetaMask的Monahan估计，自黑客攻击发生以来，黑客已通过3,934笔不同的桥接交易将至少161,490 ETH（按当前价格约3.7亿美元）转移到ThorChain。这代表了她认为已转移到比特币的209,384 ETH总量的主要部分，她告诉The Block。

“这相当于每小时3,229,800美元，”她说。

Lazarus似乎在此次攻击中使用了两个主要的非托管桥接，前述的ThorChain和eXch。然而，eXch主要以其宽松的KYC控制而闻名，似乎已禁用ETH和ERC-20代币的兑换，限制了黑客将资金转移到比特币的能力。

周三，Bybit首席执行官宣布，交易所将向帮助冻结与此次攻击相关资金的交易所、桥接和混合器提供5%的赏金。这是对Bybit最初提供的10%赏金的扩展，以奖励任何能够归还资金的人。目前尚不清楚eXch是否在新闻发布时已获得赏金。

根据区块链数据，黑客在跨链交换平台ThorChain上确认转移的161,490 ETH中，使用了多种区块链工具进行跳转，包括Asgardex、DeFiSwap、FortunaSwap、GemWallet、LiFi、ShapeShift、TrustWallet等。

ThorChain在周三创下了单日交易量的最大纪录，代币交换总额超过7.37亿美元。

“这一切都来自Lazarus黑客，”ThorChain用户@diplo在X上表示。“但谁真的在乎，这对TC来说是个胜利。唯一担心的是，一旦这些交换停止，价格会发生什么。BTC目前正在下跌，如果没有这一点，我认为我们现在不会超过1美元。”

根据The Block的数据页面，ThorChain的原生代币RUNE自黑客攻击以来的最高价格超过1.60美元，最近达到了一个局部高点，但距离2024年超过10美元的高点和历史最高点19.30美元还有一段距离。

“Thorchain不采取任何措施来阻止通过其平台转移被盗的ETH，这不会有好结果，”@AirdropGlideapp在X上表示。“有趣的是，一个人可以在2分钟内关闭ThorFi，但当涉及到阻止朝鲜通过Thorchain洗钱数十亿美元的以太坊时，突然就什么都做不了！”

根据X上的几篇帖子，关于与Lazarus相关的资金流动存在内部分歧。周四早些时候，三名验证者投票拒绝与Bybit黑客攻击相关的交易，这显然暂时停止了资金流动。然而，由于ThorChain背后极为去中心化的共识机制保持了验证者的选择性，该“投票在几分钟内被撤回”，一位用户解释。

值得注意的是，THORChain的化名核心开发者“Pluto”在宣布辞去该项目职务之前，曾倡导解决链上洗钱问题。TCB是三名投票停止THORChain ETH交易的验证者之一，他也表示一直在努力寻找防止朝鲜洗钱的方法。

“当你大多数的资金流动都是来自朝鲜的被盗资金，涉及人类历史上最大的盗窃案时，这将成为国家安全问题，这不再是游戏，”TCB在X上表示，并补充说ThorChain并不“足够去中心化”以抵御监管攻击。“TC社区基于他们从与现实脱节的信息中学到的东西，持有强烈的信念，而这些信息与在前线执行的人们的现实相去甚远。”

在抽走Bybit冷钱包的资金后，Lazarus将被盗资金转移到三个独立的“分发”地址——0xB4a、0x23Ob和0x83E——然后将其分解为数十个新创建的地址。该组织还使用去中心化交易所Uniswap、Paraswap和KyberSwap将ETH衍生品如stETH和cETH兑换为ETH。

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于其他公司在加密领域。加密交易所Bitget是Foresight Ventures的主要LP。The Block继续独立运营，提供关于加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。

© 2025 The Block。保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。