美國(guó)聯(lián)邦調(diào)查局（FBI）日前正式將 Bybit 遭受創(chuàng)紀(jì)錄的15 億美元加密貨幣被竊事件與朝鮮黑客組織 Lazarus 聯(lián)系起來(lái)。與此同時(shí)，Bybit 的首席執(zhí)行官 Ben Zhou 宣布要對(duì) Lazarus全面”開(kāi)戰(zhàn)“

FBI 表示，朝鮮應(yīng)對(duì)此次加密貨幣交易所的虛擬資產(chǎn)盜竊事件負(fù)責(zé)。該事件被歸咎于 FBI 追蹤的一個(gè)特定集群 TraderTraitor，該集群也被稱為 Jade Sleet、Slow Pisces 和 UNC4899。

FBI 稱：“TraderTraitor 的行為迅速，已將部分被盜資產(chǎn)轉(zhuǎn)換為比特幣和其他虛擬資產(chǎn)，并分散在多個(gè)區(qū)塊鏈上的數(shù)千個(gè)地址中。預(yù)計(jì)這些資產(chǎn)將被進(jìn)一步洗錢，并最終轉(zhuǎn)換為法定貨幣。”

值得一提的是，TraderTraitor 集群此前曾被日本和美國(guó)當(dāng)局指控參與 2024 年 5 月從加密貨幣公司 DMM Bitcoin 竊取價(jià)值 3.08 億美元加密貨幣的事件。

朝鮮黑客的常用攻擊手法

TraderTraitor 以針對(duì) Web3 行業(yè)的公司而聞名，通常誘騙受害者下載帶有惡意軟件的加密貨幣應(yīng)用程序，從而實(shí)施盜竊。此外，該集群還被發(fā)現(xiàn)會(huì)策劃以工作為主題的社會(huì)工程活動(dòng)，導(dǎo)致惡意 npm 包的部署。

與此同時(shí)，Bybit 已啟動(dòng)賞金計(jì)劃，以幫助追回被盜資金，同時(shí)指責(zé) eXch 拒絕配合調(diào)查并協(xié)助凍結(jié)資產(chǎn)。

Bybit 表示：“被盜資金已被轉(zhuǎn)移到無(wú)法追蹤或凍結(jié)的目的地，例如交易所、混幣器或跨鏈橋，或轉(zhuǎn)換為可以凍結(jié)的穩(wěn)定幣。我們需要所有相關(guān)方的合作，要么凍結(jié)資金，要么提供資金流動(dòng)的更新，以便我們繼續(xù)追蹤?！?/p>

攻擊背后的技術(shù)細(xì)節(jié)

總部位于迪拜的 Bybit 還分享了由 Sygnia 和 Verichains 進(jìn)行的兩項(xiàng)調(diào)查的結(jié)論，將此次攻擊與 Lazarus 集團(tuán)聯(lián)系起來(lái)。

Sygnia 表示：“對(duì)三個(gè)簽名者主機(jī)的取證調(diào)查表明，攻擊的根本原因是從 Safe{Wallet} 基礎(chǔ)設(shè)施中產(chǎn)生的惡意代碼?！?/p>

Verichains 指出：“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 時(shí)間 15:29:25 被惡意代碼替換，專門針對(duì) Bybit 的以太坊多簽冷錢包?！?并補(bǔ)充說(shuō)：“攻擊設(shè)計(jì)為在下一次 Bybit 交易期間激活，該交易發(fā)生在 2025 年 2 月 21 日 UTC 時(shí)間 14:13:35?！?nbsp;Safe.Global 的 AWS S3 或 CloudFront 賬戶/API 密鑰可能泄露或被攻破，從而為供應(yīng)鏈攻擊鋪平了道路。

在一份單獨(dú)聲明中，多簽錢包平臺(tái) Safe{Wallet} 表示，此次攻擊是通過(guò)入侵 Safe{Wallet} 開(kāi)發(fā)人員的機(jī)器來(lái)實(shí)施的，影響了 Bybit 運(yùn)營(yíng)的賬戶。該公司進(jìn)一步指出，它已實(shí)施額外的安全措施來(lái)減輕攻擊載體。

Lazarus 集團(tuán)的歷史與手法

Safe{Wallet} 表示：“此次攻擊是通過(guò)入侵 Safe{Wallet} 開(kāi)發(fā)人員的機(jī)器來(lái)實(shí)現(xiàn)的，導(dǎo)致提交了偽裝成惡意的交易。Lazarus 是朝鮮國(guó)家支持的黑客組織，以對(duì)開(kāi)發(fā)者憑證進(jìn)行復(fù)雜的社會(huì)工程攻擊而聞名，有時(shí)還結(jié)合零日漏洞利用?！?/p>

目前尚不清楚開(kāi)發(fā)人員的系統(tǒng)是如何被入侵的，盡管 Silent Push 的一項(xiàng)新分析發(fā)現(xiàn)，Lazarus 集團(tuán)在 2025 年 2 月 20 日 22:21:57 注冊(cè)了域名 bybit-assessment[.]com，該域名在加密貨幣被盜前幾小時(shí)注冊(cè)。

WHOIS 記錄顯示，該域名是使用電子郵件地址“trevorgreer9312@gmail[.]com”注冊(cè)的，該地址此前已被確認(rèn)為 Lazarus 集團(tuán)用于另一個(gè)名為“Contagious Interview”活動(dòng)的身份。

該公司表示：“Bybit 劫案似乎是由朝鮮威脅行為組織 TraderTraitor 實(shí)施的，TraderTraitor 也被稱為 Jade Sleet 和 Slow Pisces，而加密貨幣面試騙局是由朝鮮威脅行為組織 Contagious Interview 領(lǐng)導(dǎo)的，該組織也被稱為 Famous Chollima?！?/p>

“受害者通常通過(guò) LinkedIn 接觸，他們?cè)谀抢锉簧鐣?huì)工程學(xué)欺騙參與虛假的工作面試。這些面試是目標(biāo)惡意軟件部署、憑證收集以及進(jìn)一步危害財(cái)務(wù)和公司資產(chǎn)的切入點(diǎn)?！?/p>

據(jù)估計(jì)，自 2017 年以來(lái)，與朝鮮有關(guān)的行為者已經(jīng)竊取了超過(guò) 60 億美元的加密資產(chǎn)。上周竊取的 5 億美元超過(guò)了 2024 年全年從 47 起加密貨幣劫案中竊取的 34 億美元。