2025年2月27日,一场针对加密货币交易所Bybit的黑客攻击事件震惊了整个行业。这场创纪录的15亿美元盗窃事件被美国联邦调查局(FBI)确认与朝鲜黑客团体有关,CEO Ben Zhou表示与Lazarus集团展开了一场"战争"。此次攻击揭示了数字资产安全的脆弱性,特别是加密货币行业面临的挑战。 FBI的报告指出,攻击者的身份与北朝鲜的"TraderTraitor"黑客集群相符,这个黑客集群同时也被称为"Jade Sleet"、"Slow Pisces"和"UNC4899"。FBI进一步指出,TraderTraitor黑客迅速将被盗资产转换为比特币,以及在多个区块链上分散到成千上万的地址中,这无疑为追踪和追回这些资金带来了重大挑战。 值得注意的是,TraderTraitor团体在2024年5月曾因盗取DMM Bitcoin公司3.08亿美元的加密货币而受到美国和日本当局的关注。
他们以各种方式攻击Web3行业的企业,常常通过诱使受害者下载恶意软件感染的加密货币应用程序实施偷盗。此外,该团体还通过伪装成工作的社交工程活动,部署恶意的npm包进行攻击。 在此事件中,Bybit启动了一项赏金计划,以协助追踪被盗资金。同时,该交易所指责eXch拒绝在调查中合作,也不愿意帮助冻结与事件相关的资产。Bybit在声明中表示,"被盗资金已转移到无法追踪或冻结的目的地,如交易所、混合器或桥接平台,甚至被转换为可以被冻结的稳定币。我们需要所有相关方的协作,以冻结资金或提供他们的流动情况,以便我们能继续追踪。
" Bybit还分享了Sygnia和Verichains两家公司的调查结果,这些结果将黑客攻击与Lazarus集团联系在一起。Sygnia的调查报告指出,攻击的根本原因是源自Safe{Wallet}基础设施的恶意代码。Verichains则披露,"app.safe.global的原本JavaScript文件在2025年2月19日15:29:25 UTC被替换为恶意代码,特别针对Bybit的以太坊多签冷钱包。"这次攻击的设计目的是在下一次Bybit交易时激活,而该交易发生在2025年2月21日14:13:35 UTC。 调查有理由怀疑Safe.Global的AWS S3或CloudFront账户/API密钥可能遭到了泄露或被入侵,从而为供应链攻击铺平了道路。Safe{Wallet}在另一份声明中表示,攻击是通过入侵其一位开发者的机器完成的,这又导致了与Bybit相关的账户受到影响。
该公司进一步指出,已针对这一攻击路径实施了更严格的安全措施。 此次攻击"是通过感染一名Safe{Wallet}开发者的机器来实现的,导致提出一个伪装的恶意交易。"Lazarus是一个朝鲜国 sponsored的黑客组织,以其对开发者凭证的复杂社会工程攻击而著称,有时结合零日漏洞进行攻击。尽管尚不清楚开发者的系统是如何被入侵的,但根据Silent Push的新分析,Lazarus集团在2025年2月20日22:21:57注册了域名bybit-assessment[.]com,这一动作发生在加密货币被盗的几小时之前。 WHOIS记录显示,该域名的注册者是已知的电子邮件"trevorgreer9312@gmail[.]com",这一邮箱已被确认与Lazarus集团在另一个名为"Contagious Interview"的活动中使用过。因此,这场Bybit的劫案似乎是由名为TraderTraitor的朝鲜威胁演员组织实施的,而与加密货币面试骗局相关的威胁演员则被称为Contagious Interview,或者"Famous Chollima"。
面对网络威胁,受害者通常会通过LinkedIn等平台被接触,引导他们参与虚假的工作面试。这些面试作为信息获取的一个入口,初步感染目标设备,进行凭证收集,进一步威胁到财务及公司资产的安全。 自2017年以来,朝鲜相关的黑客组织被估计从加密资产中盗取了超过60亿美元的资金。而上周被盗的15亿美元,已超过2024年该组织在47起加密货币黑客事件中盗取的13.4亿美元。 此次恶性事件再次提醒整个加密货币行业,安全漏洞和供应链风险不容小觑,特别是在全球安全环境日趋严峻的背景下,加密货币交易所和金融机构必须致力于提升自身数字资产的防护能力,增强安全意识,同时加强与相关方的合作,以有效应对未来可能的网络攻击。
![How to Mine Dogecoin in [2025] - Step by Step Guide - CCN.com](/images/E7DA3FBB-84BD-44D6-9E6B-0D630278851F)
