2025 年 2 月 27 日，加密货币交易所 Bybit 发布了一份关于上周 15 亿美元黑客攻击事件的取证审查报告，揭示了此次攻击的复杂性及其对加密货币行业的影响。本报告将详细分析攻击的细节、相关方的责任争议、黑客组织的背景以及当前的资金追回情况。

攻击详情与时间线

根据 Bybit 的官方声明和区块链分析公司的报告，攻击发生在 2025 年 2 月 21 日，涉及 Bybit 的以太坊冷钱包。冷钱包通常离线存储，旨在提供更高的安全性，但黑客通过社会工程学手段成功诱导 Bybit 员工签署恶意交易。Chainalysis 的报告指出，攻击者通过钓鱼攻击（Phishing）针对冷钱包签署者，替换了 Safe 的多签字钱包实现合同，导致约 401,000 ETH（价值近 15 亿美元）被转移至黑客控制的地址。

Safe 钱包的官方声明进一步澄清，攻击是通过入侵 Safe 开发者的机器实现的，提出了一个伪装的恶意交易。Safe 强调，其智能合约和前端服务源代码未发现任何漏洞，外界安全研究人员的取证审查也支持这一结论。

Bybit 与 Safe 之间的责任争议

Bybit 的取证报告得出结论，“Safe 开发人员的凭据遭到入侵”，这使得 Lazarus 黑客组织能够未经授权访问 Safe 钱包，并欺骗 Bybit 员工签署恶意交易。然而，Safe 的立场是，其基础设施未直接受损，攻击源于开发者的机器被妥协。CoinDesk 的一位知情人士指出，尽管钱包基础设施受到社会工程学攻击，但如果 Bybit 没有“盲签”（Blind Signing）交易，黑客攻击就不可能发生。盲签指的是在不完全了解交易内容的情况下批准智能合约交易，这一机制被认为是 Bybit 内部流程的潜在弱点。

这一争议与 2024 年 7 月 WazirX 和 Liminal Custody 的 2.3 亿美元攻击后互相指责的情况类似。WazirX 声称攻击源于 Liminal 的接口问题，而 Liminal 则否认其基础设施被攻破，归咎于 WazirX 的设备妥协。这种模式表明，加密货币行业在多方参与的保管系统中，责任归属往往成为争议焦点。

Lazarus 集团的背景与活动

Lazarus 集团被认为是北韩政府支持的黑客组织，自 2009 年以来活跃于网络犯罪领域。Elliptic 的报告指出，该集团与多个高调的加密货币盗窃案有关，包括 2014 年的索尼影业黑客攻击和 2017 年的 WannaCry 勒索软件攻击。Chainalysis 的 2025 年加密犯罪报告显示，2023 年北韩相关黑客窃取了 6.605 亿美元，2024 年增至 13.4 亿美元，Bybit 攻击更是使其总损失超过 2024 年所有北韩盗窃案的总和。

ZachXBT 的链上数据分析显示，Lazarus 正在试图洗白被盗资金，目前已有 920 个钱包被不义之财污染。这些资金可能无意中与针对 Phemex 和 Poloniex 的黑客攻击中被盗的资金混合在一起，进一步将 Lazarus 集团与这些公司联系起来。

Bybit 的应对与资金追回

Bybit 在攻击后迅速行动，通过紧急贷款和存款从 Galaxy Digital、FalconX 和 Wintermute 等公司补充了近 447,000 ETH 的储备。Hacken 的储备证明审计确认，Bybit 的主要资产包括比特币、以太坊、Solana、Tether 和 USDC，均超过 100% 的抵押率，确保客户资金安全。

此外，Bybit 推出了赏金计划，提供高达被追回资金 10% 的奖励，鼓励道德黑客和区块链专家帮助追踪和冻结被盗资产（赏金计划详情）。截至目前，部分被盗资金已被冻结，特别是那些被转换为 Tether（USDT）的部分，但 Elliptic 的报告显示，约 14.5% 的被盗资产（约 1.95 亿美元）已被转移，追回的成功率可能较低。

行业影响与未来展望

此次攻击凸显了加密货币行业面临的持续威胁，特别是来自国家支持的黑客的复杂社会工程学攻击。Bybit 的快速反应和行业合作（如与 Chainalysis 和 Elliptic 的合作）显示了集体应对此类事件的潜力。然而，责任争议和盲签机制的潜在风险提醒行业需要更强的安全协议和清晰的责任划分。

结论

Bybit 15 亿美元黑客攻击事件不仅是加密货币行业历史上最大的盗窃案之一，也揭示了多签字钱包系统和社会工程学攻击的脆弱性。行业需要加强合作，改进安全措施，并明确责任归属，以保护用户资产免受类似威胁。