Bybit 15億美元駭客事件解析：駭客如何存取冷錢包，以太坊是否被攻破？

在迄今為止最大規模的加密貨幣盜竊案中，設立於塞席爾的交易所 Bybit 在2025年2月21日因遭北韓駭客集團精密攻擊，損失約15億美元以太幣（ETH）。

Bybit 執行長周必恩已證實此一安全破口，顯示針對加密產業的網路犯罪正大幅升級，也讓數位資產安全存疑。

本文將深入剖析駭客攻擊過程、技術手段、區塊鏈分析角色、Lazarus 集團參與，以及此事件對加密貨幣生態系的深遠意義。

Bybit：加密貨幣市場主要玩家

Bybit 創立於 2018 年，總部設於塞席爾，憑藉高交易量與多元服務成為知名主流交易所，包括現價買賣、槓桿合約交易、鎖倉賺取獎勵以支援區塊鏈運作等。

其便捷介面及強調多重簽名冷錢包與定期安全審計的聲譽，使其吸引全球用戶。而這個大規模駭客事件正是因為暴露了即使是最受信任平台也存在弱點。

駭客攻擊發現經過

此次駭客攻擊首次被鏈上分析師 ZachXBT 發現，他於 2025 年 2 月 21 日上午 10:20 美東時間，發現 Bybit 錢包有總額為 14.6 億美元的異常外流。

這些涉及 401,347 顆 ETH 的外流迅速引發安全疑慮。約半小時後，Bybit執行長周必恩於X（前Twitter）證實系統遭駭，並指出該攻擊利用了「偽裝」交易技術，在冷錢包例行轉帳至暖錢包過程中滲透系統。

多重簽名冷錢包與安全性說明

什麼是多重簽名冷錢包？

多重簽名（multi-sig）冷錢包是一種必須多個私鑰共同授權才能發送交易的加密資產儲存方式。

和單一私鑰錢包相比，multi-sig 分散權限於多位授權人或裝置。例如，2-of-3 multi-sig 就需要三人中兩人同意才能簽署交易。

冷錢包則指完全離線、不連接網路的儲存方式，能顯著降低遭駭或網釣的風險。

Bybit 採用多重簽名冷錢包守護大量ETH資金，本意是提升安全，但這次卻仍被攻破，更顯示本次攻擊的精密性。

攻擊過程技術細節

駭客結合社交工程與高級技術操控，成功繞過 Bybit 多重簽名安全防護。

具體攻擊步驟如下：

1. 社交工程取得初步存取權

相信駭客源自北韓 Lazarus 集團，可能採用先進網釣手法如：

魚叉式電子郵件：針對特定員工或簽署人，誘騙輸入帳密或點擊惡意連結。
假冒網站：仿BYBIT官方網站騙取私鑰或助記詞。
植入惡意程式：感染簽署人設備或系統。

該類社交工程攻擊往往利用了人為疏失，成為再嚴密系統下的潛在破口。

2. 偽裝介面操控交易

當 BYBIT 例行將 ETH 多重簽名冷錢包轉至暖錢包（線上短暫儲存用），駭客便於此流程下手。

他們竄改了簽名介面——也就是用戶簽署交易的前端畫面——讓表面顯示正常轉帳地址，但背後實則嵌有惡意智慧合約語法。

簽署人在不知情情況下批准表面例行的交易；殊不知實際操作早已動手腳。

3. 變造智慧合約邏輯

被嵌入的惡意程式來算利用了簽署流程的弱點。

經簽署通過後，惡意碼變更了錢包控制權限，使駭客得以將 401,347 ETH 轉送至不明地址。

這次攻擊並未影響以太坊主鏈本身或全網合約，而是針對 Bybit 內部交易審核流程下手。

4. 資金清洗與分散

奪取控制權後，駭客迅速將ETH分拆，每次1,000 ETH，分送至40多個不同錢包。

隨後再透過去中心化交易所（DEX）兌換其他加密貨幣或法幣，因DEX無需KYC，因此資金難以追查及凍結。

區塊鏈分析與資金追蹤

儘管駭客不斷混淆資金流向，鏈上分析機構仍持續追蹤失竊資產。

主要協助的工具及團隊包括：

Elliptic：專責於鏈上交易模式及錢包地址分析，追蹤ETH流向並發現異常。
Arkham Intelligence：即時監控資金動態，定位相關錢包與交易路徑。
MistTrack（Slow Mist）：針對以太坊網絡上可疑交易、測試交易與錢包行為圖譜，偵測 Lazarus 集團特徵。

雖經持續努力，駭客利用DEX及混幣器（cryptocurrency mixers）等工具仍大幅增加追查難度，致使追回失竊資產極具挑戰。

Lazarus 集團：事件主謀

Lazarus 集團是誰？

Lazarus 是北韓政府資助的駭客組織，以策劃高額加密貨幣竊案、勒索軟體攻擊及情報滲透著稱，傳聞由「偵察總局」直屬統籌，以籌集國家外匯為主要目標。

Lazarus 集團與Bybit攻擊的關聯證據

包括 ZachXBT 在內的區塊鏈分析師，從多處跡象連結 Bybit 攻擊與 Lazarus 過往犯案：

測試交易：於主攻前小額試驗轉帳，屬Lazarus慣用策略。
關聯錢包：Bybit事件所用錢包，曾與 Phemex 等先前案相關聯。
數據圖譜及時序：交易量、時間點和活動模式與Lazarus慣性一致。

攻擊紀錄

Lazarus 長年在加密竊案榜首，例如：

Ronin Network攻擊（2022）：從Axie Infinity竊取6億美元ETH與USDC。
Phemex 事件（2024）：與Bybit案手法如出一轍。
2024年累積戰績：全年共發動47起攻擊，竊取約13.4億美元，占當年非法加密交易61%。

其高階技巧如零時差漏洞（zero-day）與高明的社交工程，對整個產業構成巨大威脅。

對以太坊及加密生態的影響

以太坊本身安全性

儘管損失金額龐大，但以太坊主鏈及智慧合約本身並未遭突破；漏洞出在 Bybit 自身內部流程。

以太坊區塊鏈本身去中心化且安全，未因本次事件影響共識機制或合約基礎架構。

此次危機提醒大家注意人為流程和介面操作對資產保管帶來的潛在風險。

雖本案非智慧合約程式漏洞，但以偽裝簽署介面竄改交易的方式，顯示多重簽名錢包在操作與簽署細節需加強防護。

對市場的廣泛衝擊

該事件立即引發市場波動。以太幣在駭客案消息證實後下挫超過3%，市場恐慌升溫。

攻擊同時發生於ETHDenver年度盛會，令本應助漲的市場氛圍蒙上陰影。

此事件削弱了大眾對中心化交易所的信任，促使用戶重新思考資產安全問題與去中心化金融（DeFi）的重要性。

當然，最大規模的駭客案竟然發生在牛市中，這個事實本身就不容忽視。

Bybit 應對與後續處置

Bybit 迅速反應，減緩了恐慌，也展現了其營運韌性。 The exchange processed over 580,000 withdrawal requests post-hack, ensuring users could access their funds.

該交易所在遭駭後處理了超過 58 萬筆提款申請，確保用戶能夠順利提取資金。

Bybit also secured bridge loans to cover losses, reassuring users of its solvency. The exchange launched a program offering up to 10% of recovered funds to ethical hackers who assist in retrieving the stolen ETH.

Bybit 亦確保取得過橋貸款以彌補損失，讓用戶對其償付能力更有信心。該交易所還推出計劃，對協助追回被盜 ETH 的白帽駭客，提供最高 10% 的追回資金作為獎勵。

These measures, while proactive, highlight the challenges of recovering funds in such large-scale hacks, especially given the attackers’ laundering techniques.

這些主動措施凸顯了在如此大規模駭客事件下，尤其面對攻擊者複雜的洗錢手法，追回資金的困難與挑戰。

Preventive Measures for the Future

未來的預防措施

To avoid similar hacks, experts recommend a comprehensive set of security measures based on industry best practices and insights from the Bybit incident.

為避免類似駭客攻擊，專家建議應根據業界最佳實踐以及 Bybit 事件汲取的經驗，採取全方位的安全措施。

1. Multi-Factor Authentication (MFA)

1. 多重身份驗證（MFA）

Require multiple layers of verification for transaction approvals, such as:

在交易審核時，要求多重驗證程序，例如：

Biometric authentication: Fingerprint or facial recognition.
生物識別驗證：指紋或臉部辨識。
Hardware tokens: Physical devices that generate one-time codes.
硬體安全金鑰：能產生一次性密碼的實體裝置。
Time-based one-time passwords (TOTP): Apps like Google Authenticator for temporary codes.
基於時間的一次性密碼（TOTP）：如 Google Authenticator 等應用程式產生的臨時驗證碼。

2. Secure Communication Channels

2. 安全通訊管道

Use encrypted and verified channels for all transaction-related communications, such as:

所有與交易相關的溝通，皆應透過加密且驗證過的通道進行，例如：

End-to-end encrypted email: Tools like ProtonMail or Signal for secure messaging.
端對端加密電子郵件：如 ProtonMail 或 Signal 等安全通訊工具。
Dedicated secure portals: Internal systems for transaction approvals, isolated from external threats.
專屬安全入口：專屬於內部的交易審核系統，與外部威脅隔離。

3. Regular Security Audits

3. 定期安全稽核

Conduct frequent assessments and penetration testing to identify vulnerabilities:

定期進行安全評估及滲透測試，以發現潛在弱點：

Third-party audits: Engage reputable firms to review security protocols.
第三方審查：委託信譽良好的公司檢視安全措施。
Simulated attacks: Test systems against phishing, malware, and social engineering scenarios.
模擬攻擊演練：針對釣魚、惡意軟體、社交工程等情境測試系統。

4. Employee Training

4. 員工教育訓練

Educate staff on recognizing social engineering threats, such as:

教育員工辨識各類社交工程威脅，例如：

Spear-phishing awareness: Train employees to identify suspicious emails or links.
防止標靶式釣魚攻擊意識：訓練員工識別可疑郵件與連結。
Credential hygiene: Avoid reusing passwords or storing keys insecurely.
帳密安全管理：避免重複使用密碼或不安全地儲存金鑰。

5. Diversified Asset Management

5. 資產多元化管理

Spread funds across multiple wallets to limit exposure:

將資金分散存放於多個錢包，以降低風險曝險：

Cold and hot wallet balance: Keep the majority of funds in cold storage, with minimal amounts in hot wallets for daily operations.
冷熱錢包分流：大部分資金存放於冷錢包，僅有少量資金放於熱錢包以支應日常運作。
Multi-sig distribution: Use different multi-sig configurations for different asset pools.
多重簽章分散：針對不同資產池配置不同的多重簽章機制。

6. Anomaly Detection Systems

6. 異常偵測系統

Implement tools to detect and alert on unusual transaction patterns, such as:

部署工具偵測並警示不尋常交易行為，例如：

Machine learning models: Identify deviations from normal activity, such as large transfers at unusual times.
機器學習模型：偵測異於常態之行為，如在非典型時間進行大額轉帳。
Real-time alerts: Notify security teams of suspicious outflows.
即時警報：即時通報安全團隊發現可疑資金流出。

7. Stay Updated on Threats

7. 持續更新威脅情資

Continuously update security measures to counter emerging cyber threats:

持續強化安全措施，以因應新興網路威脅：

Threat intelligence feeds: Subscribe to services that track new attack vectors.
威脅情資訂閱：訂閱追蹤最新攻擊手法的情報服務。
Zero-day exploit defenses: Deploy patches and updates promptly to address newly discovered vulnerabilities.
零時差漏洞防護：即時修補與更新，解決新發現的安全漏洞。

These measures are crucial, especially given the Lazarus Group’s advanced techniques, which include zero-day exploits, sophisticated social engineering, and rapid fund laundering.

這些措施至關重要，尤其考慮到 Lazarus 集團高超的技術，包括零時差漏洞利用、複雜的社交工程，以及快速洗錢操作。

Conclusion: Lessons for the Crypto Industry

結論：加密貨幣產業的啟示

The Bybit hack, the largest cryptocurrency heist in history, underscores the persistent security challenges facing the industry, particularly from state-sponsored actors like the Lazarus Group.

Bybit 遭駭事件，作為歷來最大規模的加密貨幣竊案，凸顯產業面臨來自像 Lazarus 集團等國家支持駭客的長期安全挑戰。

While Ethereum remains secure, the incident highlights the need for robust internal processes, advanced cybersecurity measures, and continuous vigilance to protect digital assets.

儘管以太坊本身仍維持安全，此事件突顯加密貨幣產業必須建立健全的內部管理機制、先進的資安防護措施，以及持續的警戒，以保障數位資產。

As the cryptocurrency ecosystem evolves, exchanges must prioritize user trust and operational resilience to navigate such crises effectively.

隨著加密生態系不斷進化，交易平台必須優先考量用戶信任以及營運韌性，才能有效因應此類危機。

The Bybit breach serves as a stark reminder that even the most secure platforms are vulnerable to human error and sophisticated attacks, emphasizing the importance of layered security and industry-wide collaboration to combat cybercrime.

Bybit 的遭駭也嚴正提醒我們，即便是安全措施完善的平台，仍可能因人為疏漏或精密攻擊而受損，因此採取多層次防護與產業協作，對抗網絡犯罪至關重要。