Bybit黑客事件：4.8亿美元以太坊被转移至比特币

MetaMask安全主管Taylor Monahan向The Block透露，Bybit黑客已将至少209,384个ETH（约合4.8亿美元）转移至比特币。这占到了从交易所盗取的约40万个ETH的一半以上，且不包括其他被盗的代币。

据追踪黑客组织相关数字钱包的Arkham Intelligence称，其中至少有2.4亿美元通过THORchain进行洗钱。Arkham在X平台的一篇帖子中表示，被盗的加密货币"主要被兑换成了原生BTC"。

FBI确认朝鲜黑客组织参与

上周五，Arkham Intelligence援引在线侦探ZachXBT提供的信息称，朝鲜的Lazarus集团对Bybit进行了超过15亿美元的骇客攻击。美国联邦调查局随后证实，此次黑客攻击是由朝鲜恶意的"TraderTraitor"行为者实施的，该术语包括Lazarus集团。

FBI在公告中表示："TraderTraitor行为者正在迅速行动，已将部分被盗资产转换为比特币和其他虚拟资产，分散在多个区块链上的数千个地址中。预计这些资产将被进一步洗钱，并最终转换为法定货币。"

根据以太坊安全专家的说法，这次15亿美元的黑客攻击比往常更难追踪。Lazarus以分割资金和使用多种协议转移资金而闻名，但这次特别的攻击涉及数千笔独立的交易。

化名研究员SomaXBT在X平台上表示："这就是Bybit黑客追踪的情况，"他抱怨了分割资金的复杂性。"[这]只是2跳的追踪（每次10 ETH）。我的Mac Air几乎要燃烧起来才能加载这些交易。"

在这次攻击中，黑客盗取了超过40万个ETH（当时价值约11亿美元）、9万个stETH、1.5万个cmETH和8000个cETH。然而，目前尚不清楚黑客持有多少ETH，因为部分资产——包括4300万美元的mETH——已被冻结。

Metamask的Monahan估计，自黑客攻击发生以来的115小时内，黑客已使用3934笔独立的桥接交易向ThorChain转移了至少161,490个ETH（按当前价格计算价值3.7亿美元）。她告诉The Block，这占到了她认为已转移至比特币的209,384个ETH的大部分。

"这是每小时322.98万美元，"她说。

Lazarus似乎使用了两个主要的非托管桥接进行攻击，即上述的ThorChain和eXch。然而，eXch主要以宽松的KYC控制著称，似乎已禁用ETH和ERC-20代币交换，限制了黑客将资金转移至比特币的能力。

周三，Bybit首席执行官宣布，交易所将向帮助冻结与攻击相关资金的交易所、桥接和混币器提供5%的赏金。这是Bybit最初向任何能够归还资金的人提供的10%赏金的扩展。目前尚不清楚eXch是否已获得赏金。

在确认通过跨链交易平台ThorChain的161,490个ETH中，黑客使用了大量区块链工具进行转移，包括Asgardex、DeFiSwap、FortunaSwap、GemWallet、LiFi、ShapeShift、TrustWallet等，据区块链数据显示。

周三，ThorChain的交易量创下单日最高纪录，代币交换价值超过7.37亿美元。

"这些全都来自Lazarus黑客，"ThorChain用户@diplo在X平台上说。"但谁在乎呢，这对TC来说是件好事。唯一担心的是这些交换停止后价格会发生什么。BTC目前正在流血，如果没有这个，我不认为我们现在能超过1美元。"

根据X平台上的几篇帖子，关于与Lazarus相关的资金流动，内部存在分歧。周四早些时候，三名验证者投票拒绝与Bybit黑客相关的交易，这显然暂时停止了资金流动。然而，一位用户解释说，由于ThorChain背后极其去中心化的共识机制保留了验证者的可选性，"投票在几分钟内就被撤销了"。

值得注意的是，THORChain化名核心开发者"Pluto"在宣布从该项目辞职之前，一直主张解决这个链上洗钱问题。投票阻止THORChain ETH交易的三名验证者之一TCB也表示，他一直在努力寻找防止朝鲜洗钱的方法。

"当你的大部分资金流动是来自朝鲜的盗取资金，这是人类历史上最大的金钱抢劫案，它将成为一个国家安全问题，这不再是游戏了，"TCB在X平台上说，并补充说ThorChain"不够去中心化"，无法在监管攻击中生存。"TC社区基于他们从信息中学到的东西有强烈的信念，这些信息与在前线执行的人的现实脱节。"

在清空Bybit冷钱包后，Lazarus立即将被盗资金转移到三个独立的"分配"地址——0xB4a、0x23Ob和0x83E——然后将它们分解为数十个新创建的地址。该组织还使用去中心化交易所Uniswap、Paraswap和KyberSwap将ETH衍生品如stETH和cETH兑换为ETH。