美国联邦调查局(FBI)日前正式将 Bybit 遭受创纪录的15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来。与此同时,Bybit 的首席执行官 Ben Zhou 宣布要对 Lazarus全面”开战“
FBI 表示,朝鲜应对此次加密货币交易所的虚拟资产盗窃事件负责。该事件被归咎于 FBI 追踪的一个特定集群 TraderTraitor,该集群也被称为 Jade Sleet、Slow Pisces 和 UNC4899。
FBI 称:“TraderTraitor 的行为迅速,已将部分被盗资产转换为比特币和其他虚拟资产,并分散在多个区块链上的数千个地址中。预计这些资产将被进一步洗钱,并最终转换为法定货币。”
值得一提的是,TraderTraitor 集群此前曾被日本和美国当局指控参与 2024 年 5 月从加密货币公司 DMM Bitcoin 窃取价值 3.08 亿美元加密货币的事件。
朝鲜黑客的常用攻击手法
TraderTraitor 以针对 Web3 行业的公司而闻名,通常诱骗受害者下载带有恶意软件的加密货币应用程序,从而实施盗窃。此外,该集群还被发现会策划以工作为主题的社会工程活动,导致恶意 npm 包的部署。
与此同时,Bybit 已启动赏金计划,以帮助追回被盗资金,同时指责 eXch 拒绝配合调查并协助冻结资产。
Bybit 表示:“被盗资金已被转移到无法追踪或冻结的目的地,例如交易所、混币器或跨链桥,或转换为可以冻结的稳定币。我们需要所有相关方的合作,要么冻结资金,要么提供资金流动的更新,以便我们继续追踪。”
攻击背后的技术细节
总部位于迪拜的 Bybit 还分享了由 Sygnia 和 Verichains 进行的两项调查的结论,将此次攻击与 Lazarus 集团联系起来。
Sygnia 表示:“对三个签名者主机的取证调查表明,攻击的根本原因是从 Safe{Wallet} 基础设施中产生的恶意代码。”
Verichains 指出:“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 时间 15:29:25 被恶意代码替换,专门针对 Bybit 的以太坊多签冷钱包。” 并补充说:“攻击设计为在下一次 Bybit 交易期间激活,该交易发生在 2025 年 2 月 21 日 UTC 时间 14:13:35。” Safe.Global 的 AWS S3 或 CloudFront 账户/API 密钥可能泄露或被攻破,从而为供应链攻击铺平了道路。
在一份单独声明中,多签钱包平台 Safe{Wallet} 表示,此次攻击是通过入侵 Safe{Wallet} 开发人员的机器来实施的,影响了 Bybit 运营的账户。该公司进一步指出,它已实施额外的安全措施来减轻攻击载体。
Lazarus 集团的历史与手法
Safe{Wallet} 表示:“此次攻击是通过入侵 Safe{Wallet} 开发人员的机器来实现的,导致提交了伪装成恶意的交易。Lazarus 是朝鲜国家支持的黑客组织,以对开发者凭证进行复杂的社会工程攻击而闻名,有时还结合零日漏洞利用。”
目前尚不清楚开发人员的系统是如何被入侵的,尽管 Silent Push 的一项新分析发现,Lazarus 集团在 2025 年 2 月 20 日 22:21:57 注册了域名 bybit-assessment[.]com,该域名在加密货币被盗前几小时注册。
WHOIS 记录显示,该域名是使用电子邮件地址“trevorgreer9312@gmail[.]com”注册的,该地址此前已被确认为 Lazarus 集团用于另一个名为“Contagious Interview”活动的身份。
该公司表示:“Bybit 劫案似乎是由朝鲜威胁行为组织 TraderTraitor 实施的,TraderTraitor 也被称为 Jade Sleet 和 Slow Pisces,而加密货币面试骗局是由朝鲜威胁行为组织 Contagious Interview 领导的,该组织也被称为 Famous Chollima。”
“受害者通常通过 LinkedIn 接触,他们在那里被社会工程学欺骗参与虚假的工作面试。这些面试是目标恶意软件部署、凭证收集以及进一步危害财务和公司资产的切入点。”
据估计,自 2017 年以来,与朝鲜有关的行为者已经窃取了超过 60 亿美元的加密资产。上周窃取的 5 亿美元超过了 2024 年全年从 47 起加密货币劫案中窃取的 34 亿美元。
