Bybit 15億美元被黑事件解構：黑客如何入侵冷錢包，以太坊有冇受影響？

截至目前最大規模的加密貨幣盜竊，位於塞舌爾的交易所Bybit於2025年2月21日遭北韓黑客集團入侵，損失約15億美元以太坊(ETH)。

Bybit行政總裁周正賓證實事件，顯示針對加密行業的網絡罪案進一步惡化，並引發業界對數碼資產安全性的重大疑問。

以下詳細分析這次攻擊的技術手法、區塊鏈分析的作用、Lazarus黑客集團的參與，以及事件對整個加密貨幣生態的影響。

Bybit：加密貨幣市場的重要角色

Bybit於2018年創立、總部設於塞舌爾，是知名加密貨幣交易所，因交易量大及產品多元，包括即時買賣加密貨幣、槓桿交易、鎖倉賺取回報，吸引全球用戶。

其用戶界面簡單及以多重簽名冷錢包、定期安全審查等安全措施見稱。正因如此，今次事件更令人憂慮，反映即使最受信賴平台亦有漏洞。

被黑經過發現

鏈上分析師ZachXBT率先發現異常，2025年2月21日美東時間上午10:20，發現Bybit錢包有涉401,347 ETH的大額可疑流出，涉資14.6億美元。

半小時內，Bybit CEO周正賓在X（前Twitter）發文確認被黑，指事件源於黑客利用一種「匿名」交易技術，在例行轉帳至熱錢包過程中攻破了平台的多重簽名冷錢包。

多重簽名冷錢包與安全原理

何謂多重簽名冷錢包？

多重簽名（multi-sig）冷錢包是一種需多方同意才能授權交易的加密貨幣儲存方式。

相較於單一私鑰錢包，multi-sig可分散權限（如2-3多簽即3人中需2人批准），減少單點故障風險。

冷錢包則指離線儲存設備，不連網，令網上攻擊（如黑客或釣魚）更難發生。

Bybit的多簽冷錢包本需多方批准（行業標準），專為保障大額ETH儲備，但事件最終暴露了黑客手法的高明。

黑客如何入侵：技術細節

黑客結合社交工程與高級技術攻擊，繞過Bybit的多簽防線。

詳細分為以下數步：

1. 社交工程滲透最初進入點

據信為北韓Lazarus Group，黑客或以進階釣魚手段取得初步權限，如：

魚叉式釣魚電郵：針對員工或簽署人，誘騙洩漏帳戶資料或點擊惡意連結。
偽冒網站：模仿Bybit介面收集種子語、私鑰。
惡意程式植入：感染簽署人所用裝置，取得操作權限。

這些都是針對人為操作的經典滲透方式，即使最嚴密系統，人為仍是安全最大漏洞。

2. 介面操縱發動交易攻擊

在將ETH由多簽冷錢包例行轉帳至熱錢包過程中，黑客控制了簽名介面──也就是簽署人核准交易的視窗。

簽署介面被修改，表面顯示正確地址，但底層智能合約實則被植入惡意代碼。

簽署人未察覺下批准了這筆「例行」交易，實質批准的是被操控控制機制的交易。

3. 智能合約邏輯被更改

惡意代碼趁交易批准過程中發揮作用，修改智能合約邏輯，令黑客獲錢包實質控制權，可以將401,347 ETH轉至不明賬戶。

事件並非以太坊區塊鏈或智能合約本身被入侵，而是Bybit內部交易審批流程遭黑客乘虛而入。

4. 分散及清洗資金

攻陷後，黑客急速將ETH分拆成每份1,000 ETH的多筆，分配至40多個錢包。

黑客利用去中心化交易所（DEX）換成其他幣或法幣，由於DEX無需KYC，用戶身份難以追查及凍結，被盜資金回收困難。

區塊鏈分析與追查資金流

即使黑客隱蔽度高，區塊鏈分析公司依然關鍵協助追蹤資金：

Elliptic：追蹤失竊ETH如何被分拆、清算，分析錢包地址及交易模式尋可疑端倪。
Arkham Intelligence：實時追蹤相關資金流及錢包關聯。
MistTrack (Slow Mist)：繪製ETH資金在Ethereum網絡流向，辨識Lazarus常用測試轉賬、錢包特徵。

但由於黑客清洗速度極快，且善用去中心化或混幣工具，資金追回困難重重。

Lazarus Group：幕後黑手

什麼是Lazarus Group？

Lazarus Group為北韓國家支持的黑客組織，專門策劃大型加密盜竊、勒索及間諜行動，目的是為北韓政府籌集外匯。

Lazarus涉案證據

包括ZachXBT等分析師根據下列線索鏈接是同一集團所為：

測試轉帳：行動前先有小額測試，為Lazarus慣例。
關聯錢包：涉案錢包與過往攻擊(Phemex事件)中用過的地址相關聯。
法證時間及交易模式：轉賬時機及錢包活動圖譜吻合Lazarus慣常模式。

Lazarus過往戰績

Ronin Network (2022)：自Axie Infinity平台盜走6億美元ETH及USDC。
Phemex錢包被黑 (2024)：與今次Bybit案有技術、錢包用法相似連結。
2024年度：47宗黑客案合共1.34億美元失竊，佔全年加密金融罪案61%。

Lazarus精於高端手法，包括零時差漏洞（0-day）攻擊及社交工程，對整個加密產業構成巨大威脅。

以太坊與加密生態的影響

以太坊安全分析

雖然事件規模驚人，但以太坊本身並無被攻破。

風險在於Bybit內部流程管理，而非Ethereum區塊鏈智能合約漏洞。

以太坊區塊鏈的去中心化共識及智能合約安全未受損，這次是運營層面的簽名程序遭人為操控。

事件提醒業界：用戶介面、安全審批機制仍需持續改良，減低人為因素風險。

對整體市場的衝擊

消息一出，以太坊價格即跌超過3%，市場波動加劇。

事發時碰巧正值ETHDenver以太坊生態圈大會，直接打擊業界信心。

今次事件進一步削弱用戶對中心化交易所信任，令資金和焦點流向去中心化金融（DeFi）選擇。

同時，牛市期間發生史上最大黑客案，這個標誌意義不容忽視。

Bybit的應對及補救行動

Bybit即時回應有助減低恐慌，展現營運團隊危機處理能力。 The exchange processed over 580,000 withdrawal requests post-hack, ensuring users could access their funds.

該交易所於事件後處理咗超過 580,000 個提款申請，以確保用戶可以提取自己嘅資金。

Bybit also secured bridge loans to cover losses, reassuring users of its solvency. The exchange launched a program offering up to 10% of recovered funds to ethical hackers who assist in retrieving the stolen ETH.

Bybit 仲成功取得過渡貸款嚟補償損失，向用戶保證交易所財政穩健。平台亦推出計劃，提供高達 10% 已追回資金作回報，畀協助追回被盜 ETH 嘅白帽黑客。

These measures, while proactive, highlight the challenges of recovering funds in such large-scale hacks, especially given the attackers’ laundering techniques.

雖然呢啲措施十分積極，但同時反映出喺咁大規模嘅攻擊下追討資金有極大困難，特別係攻擊者會利用複雜嘅洗黑錢手法。

Preventive Measures for the Future

未來預防措施

To avoid similar hacks, experts recommend a comprehensive set of security measures based on industry best practices and insights from the Bybit incident.

為咗避免類似嘅黑客事件，專家建議根據業界最佳做法同 Bybit 案件所得嘅經驗，實施一系列綜合保安措施。

1. Multi-Factor Authentication (MFA)

1. 多重認證（MFA）

Require multiple layers of verification for transaction approvals, such as:

要求多重驗證先可以批核交易，例如：

Biometric authentication: Fingerprint or facial recognition.
生物認證：如指紋或面部識別。
Hardware tokens: Physical devices that generate one-time codes.
硬件認證器：產生一次性密碼嘅實體裝置。
Time-based one-time passwords (TOTP): Apps like Google Authenticator for temporary codes.
基於時間一次性密碼（TOTP）：例如 Google Authenticator 等 App 產生臨時密碼。

2. Secure Communication Channels

2. 安全通訊渠道

Use encrypted and verified channels for all transaction-related communications, such as:

所有交易相關溝通必須用加密及驗證渠道，例如：

End-to-end encrypted email: Tools like ProtonMail or Signal for secure messaging.
點到點加密電郵：例如 ProtonMail 或 Signal 等安全資訊工具。
Dedicated secure portals: Internal systems for transaction approvals, isolated from external threats.
專屬安全平台：內部專用審批交易系統，切實與外部威脅隔離。

3. Regular Security Audits

3. 定期保安審核

Conduct frequent assessments and penetration testing to identify vulnerabilities:

定期進行審查及滲透測試，搵出系統漏洞：

Third-party audits: Engage reputable firms to review security protocols.
第三方審核：搵有信譽嘅機構審查安全措施。
Simulated attacks: Test systems against phishing, malware, and social engineering scenarios.
模擬攻擊：透過釣魚、惡意軟件及社交工程等測試系統反應。

4. Employee Training

4. 員工培訓

Educate staff on recognizing social engineering threats, such as:

加強員工對社交工程攻擊嘅認知，包括：

Spear-phishing awareness: Train employees to identify suspicious emails or links.
魚叉式網絡釣魚意識：教導員工識別可疑電郵或連結。
Credential hygiene: Avoid reusing passwords or storing keys insecurely.
認證資料保安：避免重用密碼或將密鑰存放喺唔安全嘅地方。

5. Diversified Asset Management

5. 資產分散管理

Spread funds across multiple wallets to limit exposure:

將資產分散於多個錢包，減低風險：

Cold and hot wallet balance: Keep the majority of funds in cold storage, with minimal amounts in hot wallets for daily operations.
熱錢包同冷錢包比例：大部分資產存放冷錢包，只留小部分喺熱錢包應付日常營運。
Multi-sig distribution: Use different multi-sig configurations for different asset pools.
多重簽署管理：唔同資產池採用唔同多簽配置。

6. Anomaly Detection Systems

6. 異常偵測系統

Implement tools to detect and alert on unusual transaction patterns, such as:

部署工具及時偵測及預警可疑交易活動，例如：

Machine learning models: Identify deviations from normal activity, such as large transfers at unusual times.
機械學習模型：識別有異於平時活動，例如異常時段出現大額交易。
Real-time alerts: Notify security teams of suspicious outflows.
即時警告：即時通知安全團隊有可疑資金流出。

7. Stay Updated on Threats

7. 緊貼威脅資訊

Continuously update security measures to counter emerging cyber threats:

持續更新保安措施，應對不斷演變嘅網絡攻擊：

Threat intelligence feeds: Subscribe to services that track new attack vectors.
威脅情報：訂閱追蹤新型攻擊渠道嘅服務。
Zero-day exploit defenses: Deploy patches and updates promptly to address newly discovered vulnerabilities.
零日漏洞防禦：即時安裝補丁同更新，堵塞新發現漏洞。

These measures are crucial, especially given the Lazarus Group’s advanced techniques, which include zero-day exploits, sophisticated social engineering, and rapid fund laundering.

呢啲措施尤其重要，因為 Lazarus Group 等組織會用零日漏洞攻擊、精密社交工程同極速洗黑錢等先進手法。

Conclusion: Lessons for the Crypto Industry

總結：對加密貨幣業界嘅啟示

The Bybit hack, the largest cryptocurrency heist in history, underscores the persistent security challenges facing the industry, particularly from state-sponsored actors like the Lazarus Group.

Bybit 遭黑事件係史上最大型加密貨幣盜竊案之一，充分證明業界長期面對嚴峻安全挑戰，尤其係來自類似 Lazarus Group 咁嘅國家支持黑客組織攻擊。

While Ethereum remains secure, the incident highlights the need for robust internal processes, advanced cybersecurity measures, and continuous vigilance to protect digital assets.

即使以太坊本身依然安全，事件都再次提醒大家必須加強內部程序、提升保安技術，並時刻保持警覺，才能保障數碼資產。

As the cryptocurrency ecosystem evolves, exchanges must prioritize user trust and operational resilience to navigate such crises effectively.

隨住加密貨幣生態發展，交易所一定要將用戶信任同業務韌性放喺首位，先可以有效應對突發事件。

The Bybit breach serves as a stark reminder that even the most secure platforms are vulnerable to human error and sophisticated attacks, emphasizing the importance of layered security and industry-wide collaboration to combat cybercrime.

Bybit 遭入侵呢件事清楚提醒我哋，即使係最安全平台，都有可能因人為錯誤或極度複雜攻擊而受到威脅，所以多層次保安同全行業合作打擊網絡罪行顯得更加重要。