美國聯邦調查局（FBI）日前正式將 Bybit 遭受創紀錄的15 億美元加密貨幣被竊事件與朝鮮黑客組織 Lazarus 聯系起來。與此同時，Bybit 的首席執行官 Ben Zhou 宣布要對 Lazarus全面”開戰“

FBI 表示，朝鮮應對此次加密貨幣交易所的虛擬資產盜竊事件負責。該事件被歸咎于 FBI 追蹤的一個特定集群 TraderTraitor，該集群也被稱為 Jade Sleet、Slow Pisces 和 UNC4899。

FBI 稱：“TraderTraitor 的行為迅速，已將部分被盜資產轉換為比特幣和其他虛擬資產，并分散在多個區塊鏈上的數千個地址中。預計這些資產將被進一步洗錢，并最終轉換為法定貨幣。”

值得一提的是，TraderTraitor 集群此前曾被日本和美國當局指控參與 2024 年 5 月從加密貨幣公司 DMM Bitcoin 竊取價值 3.08 億美元加密貨幣的事件。

朝鮮黑客的常用攻擊手法

TraderTraitor 以針對 Web3 行業的公司而聞名，通常誘騙受害者下載帶有惡意軟件的加密貨幣應用程序，從而實施盜竊。此外，該集群還被發現會策劃以工作為主題的社會工程活動，導致惡意 npm 包的部署。

與此同時，Bybit 已啟動賞金計劃，以幫助追回被盜資金，同時指責 eXch 拒絕配合調查并協助凍結資產。

Bybit 表示：“被盜資金已被轉移到無法追蹤或凍結的目的地，例如交易所、混幣器或跨鏈橋，或轉換為可以凍結的穩定幣。我們需要所有相關方的合作，要么凍結資金，要么提供資金流動的更新，以便我們繼續追蹤。”

攻擊背后的技術細節

總部位于迪拜的 Bybit 還分享了由 Sygnia 和 Verichains 進行的兩項調查的結論，將此次攻擊與 Lazarus 集團聯系起來。

Sygnia 表示：“對三個簽名者主機的取證調查表明，攻擊的根本原因是從 Safe{Wallet} 基礎設施中產生的惡意代碼。”

Verichains 指出：“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 時間 15:29:25 被惡意代碼替換，專門針對 Bybit 的以太坊多簽冷錢包。” 并補充說：“攻擊設計為在下一次 Bybit 交易期間激活，該交易發生在 2025 年 2 月 21 日 UTC 時間 14:13:35。” Safe.Global 的 AWS S3 或 CloudFront 賬戶/API 密鑰可能泄露或被攻破，從而為供應鏈攻擊鋪平了道路。

在一份單獨聲明中，多簽錢包平臺 Safe{Wallet} 表示，此次攻擊是通過入侵 Safe{Wallet} 開發人員的機器來實施的，影響了 Bybit 運營的賬戶。該公司進一步指出，它已實施額外的安全措施來減輕攻擊載體。

Lazarus 集團的歷史與手法

Safe{Wallet} 表示：“此次攻擊是通過入侵 Safe{Wallet} 開發人員的機器來實現的，導致提交了偽裝成惡意的交易。Lazarus 是朝鮮國家支持的黑客組織，以對開發者憑證進行復雜的社會工程攻擊而聞名，有時還結合零日漏洞利用。”

目前尚不清楚開發人員的系統是如何被入侵的，盡管 Silent Push 的一項新分析發現，Lazarus 集團在 2025 年 2 月 20 日 22:21:57 注冊了域名 bybit-assessment[.]com，該域名在加密貨幣被盜前幾小時注冊。

WHOIS 記錄顯示，該域名是使用電子郵件地址“trevorgreer9312@gmail[.]com”注冊的，該地址此前已被確認為 Lazarus 集團用于另一個名為“Contagious Interview”活動的身份。

該公司表示：“Bybit 劫案似乎是由朝鮮威脅行為組織 TraderTraitor 實施的，TraderTraitor 也被稱為 Jade Sleet 和 Slow Pisces，而加密貨幣面試騙局是由朝鮮威脅行為組織 Contagious Interview 領導的，該組織也被稱為 Famous Chollima。”

“受害者通常通過 LinkedIn 接觸，他們在那里被社會工程學欺騙參與虛假的工作面試。這些面試是目標惡意軟件部署、憑證收集以及進一步危害財務和公司資產的切入點。”

據估計，自 2017 年以來，與朝鮮有關的行為者已經竊取了超過 60 億美元的加密資產。上周竊取的 5 億美元超過了 2024 年全年從 47 起加密貨幣劫案中竊取的 34 億美元。