网络安全威胁和防御
查看所有标签
大约 626 万枚比特币——价值在 6500 亿至 7500 亿美元之间——存储在易受量子攻击的地址中。虽然大多数专家认为,具有密码学意义的量子计算机还需要数年时间才能实现,但保护这些资产所需的基础设施无法在一夜之间建成。一项协议声称它已经有了答案,而美国证券交易委员会(SEC)也表示认同。
Naoris Protocol 成为首个被美国监管文件引用的去中心化安全协议,当时 SEC 的后量子金融基础设施框架(PQFIF)将其指定为量子安全区块链基础设施的参考模型。随着主网将在 2026 年第一季度末之前上线,测试网已处理了 1.04 亿次后量子交易,且合作伙伴涵盖了与北约(NATO)结盟的机构,Naoris 代表了一场激进的赌注:去中心化物理基础设施网络(DePIN)的下一个前沿不是计算或存储,而是网络安全本身。
你的冷钱包并不像你想象的那么安全。在 2025 年,针对私钥、钱包系统以及管理这些系统的人员的基础设施攻击占所有被盗加密货币的 76%,在仅 45 起事件中总计损失达 22 亿美元。朝鲜国家支持的黑客组织 Lazarus Group 完善了一套让传统冷存储安全几乎失去意义的策略:针对人而非代码的为期数月的渗透活动。
当 Safe{Wallet} 开发人员 "Developer1" 在 2025 年 2 月 4 日收到一份看似常规的请求时,他们根本没有想到自己的 Apple MacBook 会成为历史上最大规模加密货币劫案的切入点。在 17 天内,朝鲜的 Lazarus Group 利用这台被入侵的笔记本电脑从 Bybit 窃取了 15 亿美元 —— 这超过了一些国家的整个国内生产总值(GDP)。
这并非偶然。这是长达十年的进化的顶点,它将一群受国家资助的黑客转变为世界上最先进的加密货币窃贼,负责了至少 67.5 亿美元的累计盗窃案。
数字令人震惊:2025 年加密货币平台共有 34 亿美元被盗,其中近三分之二由单一国家行为体所为。北韩的 Lazarus Group 不仅打破了纪录,还重写了国家支持的网络犯罪规则——通过更少的攻击次数提取了呈指数级增长的价值。进入 2026 年,加密货币行业面临着一个不安的事实:过去五年的安全范式已从根本上失效。
区块链情报公司 Chainalysis 在 2025 年 12 月发布了年度加密货币犯罪报告,证实了业内人士的担忧。加密货币盗窃总额达到 34 亿美元,其中北韩黑客掠夺了 20.2 亿美元——比 2024 年本已创纪录的 13.4 亿美元增加了 51%。这使得朝鲜民主主义人民共和国(DPRK)历年加密货币盗窃总额达到约 67.5 亿美元。
2025 年盗窃案的空前之处不仅在于金额,更在于效率。北韩黑客通过比往年减少 74% 的已知攻击次数实现了这一纪录级的收成。Lazarus Group 已从一个分散的威胁行为体演变为一种精准的金融战工具。
TRM Labs 和 Chainalysis 都独立验证了这些数字,其中 TRM 指出加密货币犯罪已变得比以往任何时候都更加“组织化和专业化”。攻击速度��更快、协调性更好,且比以往周期更容易扩展。
2025 年 2 月 21 日,加密货币世界见证了历史上最大的一桩单笔盗窃案。黑客从全球最大的加密货币交易所之一 Bybit 抽走了约 401,000 ETH——当时价值 15 亿美元。
这次攻击并不是暴力破解或智能合约漏洞。这是一场高超的供应链入侵。Lazarus Group 以化名 “TraderTraitor”(也称为 Jade Sleet 和 Slow Pisces)开展行动,针对流行的多重签名钱包提供商 Safe{Wallet} 的一名开发人员。通过在钱包的用户界面中注入恶意代码,他们完全绕过了传统的安全层。
在 11 天内,黑客洗清了 100% 的被盗资金。Bybit 首席执行官周本(Ben Zhou)在 3 月初透露,他们已经失去了对近 3 亿美元资金的追踪。FBI 于 2025 年 2 月 26 日正式将此次攻击归于北韩,但到那时,资金早已通过混币协议和跨链桥服务消失。
仅 Bybit 劫案就占了北韩 2025 年加密货币盗窃额的 74%,展示了战术上的惊人演变。正如安全公司 Hacken 所指出的,Lazarus Group 表现出“对中文洗钱服务、跨链桥服务和混币协议的明显偏好,在大规模盗窃后通常有 45 天的洗钱周期”。
北韩的网络行动经历了根本性的转型。简单钓鱼攻击和热钱包入侵的时代已经过去。Lazarus Group 开发了一种多管齐下的策略,使检测几乎变得不可能。
也许最阴险的策略是研究人员称之为 “Wagemole”(工资鼹鼠)的手段——在全球加密货币公司内部安插秘密 IT 员工。通过虚假身份或前端公司,这些特工获得了进入企业系统的合法访问权,包括加密货币公司、托管商和 Web3 平台。
这种方法使黑客能够完全绕过边界防御。他们不是闯入,而是早已身处其中。
2025 年,国家背景的团体开始使用人工智能来增强其运营的每个阶段。AI 现在可以在几分钟内扫描数千个智能合约,识别可利用的代码,并自动化多链攻击。过去需要数周人工分析的工作现在只需几小时。
Coinpedia 的分析显示,北韩黑客通过 AI 集成重新定义了加密货币犯罪,使其操作比以往任何时候都更具可扩展性且更难检测。
从纯技术漏洞向人为因素攻击的转变是 2025 年的一个明确趋势。安全公司指出,“异常损失绝大多数归因于访问控制失败��,而非新颖的链上数学逻辑”。黑客的手段已从中毒的前端和多签 UI 技巧转向高管冒充和密钥窃取。
虽然 Bybit 占据了头条新闻,但北韩的行动远不止于单一目标:
这些并非孤立事件——它们代表了一场针对中心化交易所、去中心化金融平台和跨多个司法管辖区的个人钱包提供商的协同行动。
独立统计显示,全年共发生 300 多起重大安全事件,突显了整个加密货币生态系统的系统性脆弱性。
在洗钱方面,美国财政部金融犯罪执法局(FinCEN)识别出了朝鲜行动中的一个关键节点:总部位于柬埔寨的汇旺集团(Huione Group)。
FinCEN 发现,汇旺集团在 2021 年 8 月至 2025 年 1 月期间至少洗钱了 40 亿美元的非法所得。区块链公司 Elliptic 估计,真实数字可能更接近 110 亿美元。
财政部的调查显示,汇旺集团处理了 3700 万美元直接与 Lazarus 组织相关的资金,其中包括来自 DMM Bitcoin 黑客攻击事件的 3500 万美元。该公司直接与朝鲜侦察总局(Pyongyang 主要的对外情报机构)合作。
使汇旺特别危险的原因在于其完全缺乏合规控制。其三个业务板块——Huione Pay(银行业务)、Huione Guarantee(担保业务)和 Huione Crypto(交易所)——均未发布反洗钱(AML)/ 了解你的客户(KYC)政策。
该公司与柬埔寨执政的洪氏家族(Hun family)有关联,其中包括作为大股东的洪玛奈(Hun Manet)首相的堂兄,这使得国际执法工作变得复杂,直到美国于 2025 年 5 月采取行动切断其进入美国金融系统的渠道。
2025 年盗窃案的规模加速了全球范围内的监管行动。
欧盟快速推进了《加密资产市场法案》(MiCA)的“第二阶段”,现在强制要求在欧元区运营的任何交易所对其第三方软件供应商进行季度审计。Bybit 黑客攻击的供应链攻击矢量促成了这一特定要求。
在美国,焦点已转向强制性的实时储备证明(PoR)要求。其理论是:如果交易所必须在链上实时证明其资产,可疑的资金外流将立即变得可见。
继 Upbit 被黑之后,韩国金融服务委员会于 2025 年 12 月提出了《数字金融安全法》。该法案将强制执行冷存储比例、常规渗透测试,并加强对所有加密货币交易所可疑活动的监控。
Bybit 漏洞迫使中心化交易所在管理安全方式上发生了根本性转变。行业领导者已经确定了 2026 年的几项关键升级:
大多数顶级平台已从传统的智能合约多重签名迁移到多方计算(MPC)技术。与 2025 年被利用的 Safe{Wallet} 设置不同,MPC 将私钥分成碎片,这些碎片永远不会存在于单个位置,使得 UI 欺骗和“冰钓”(Ice Phishing)技术几乎无法执行。
知名的托管交易所现在实施 90-95% 的冷存储比例,将绝大部分用户资金离线保存在硬件安全模块(HSM)中。多重签名钱包需要多个授权方批准大额交易。
2025 年的关键教训是,安全性从区块链延伸到了整个软件栈。交易所必须以审计自身代码同样的严格程度来审计其供应商关系。Bybit 黑客攻击的成功是因为第三方基础设施遭到破坏,而非交易所本身的漏洞。
针对钓鱼攻击和安全密码实践的持续培训已成为强制要求,因为人为错误仍然是导致违规的主要原因。安全专家建议定期进行红蓝对抗演习,以识别安全流程管理中的薄弱环节。
展望未来,后量子密码学(PQC)和量子安全硬件正在成为关键的未来防御手段。冷钱包市场从 2026 年到 2033 年预计 15.2% 的复合年增长率(CAGR)反映了机构对安全演进的信心。
Chainalysis 在其 2025 年报告中的结尾警告应在整个行业引起共鸣:“该国 2025 年创纪录的表现——是在已知攻击减少 74% 的情况下实现的——这表明我们可能只看到了其活动中最显眼的部分。2026 年的挑战将是在受朝鲜关联黑客发起另一次 Bybit 规模的事件之前,检测并防止这些高影响力的行动。”
朝鲜已经证明,在制裁规避和武器资金驱动下,国家支持的黑客可以超越行业防御。67.5 亿美元的累计总额不仅代表被盗的加密货币,还代表了导弹、核计划和政权的生存。
对于加密货币行业来说,2026 年必须是安全转型之年。不是渐进式的改进,而是对资产存储、访问和转移方式的根本性重新架构。Lazarus 组织已经表明,昨天的最佳实践就是今天的漏洞。
赌注从未如此之高。
保障区块链基础设施需要时刻保持警惕和行业领先的安全实践。BlockEden.xyz 提供具有多层安全架构的企业级节点基础设施,帮助开发者和企业在能够抵御不断演变威胁的基础上进行构建。
加密货币洗钱活动在 2025 年激增至 820 亿美元——与五年前的 100 亿美元相比增长了八倍。但真正的重点不在于这个惊人的数字,而在于金融犯罪本身的工业化。专业的洗钱网络现在每天通过基于 Telegram 的精密市场处理 4,400 万美元,朝鲜已将加密货币盗窃武器化以资助其核计划,而支持全球诈骗的基础设施增长速度比合法的加密货币采用速度快了 7,325 倍。业余加密货币罪犯的时代已经结束。我们已经进入了组织化、专业化的区块链犯罪时代。
2025 年圣诞夜,当大多数加密货币世界都在度假时,攻击者向 Trust Wallet 的 Chrome 浏览器扩展程序推送了一个恶意更新。在 48 小时内,850 万美元从 2,520 个钱包中消失。数千名用户的助记词被悄无声息地搜集,并伪装成常规的遥测数据。但这并不是孤立事件——它是已经在加密货币开发生态系统中传播了数周的供应链攻击的顶峰。
Shai-Hulud 活动以《沙丘》(Dune)中的沙虫命名,代表了 2025 年最具侵略性的 npm 供应链攻击。它感染了超过 700 个 npm 软件包,波及 27,000 个 GitHub 仓库,并暴露了 487 个组织中约 14,000 个开发者机密。总损失超过 5800 万美元的被盗加密货币,使其成为加密货币历史上针对开发者损失最惨重的攻击之一。
与典型的需要用户下载恶意软件的病毒不同,供应链攻击污染了开发者已经信任的工具。Shai-Hulud 活动将 npm 武器化,npm 是驱动大多数 JavaScript 开发的包管理器——几乎涵盖了所有的加密钱包、DeFi 前端和 Web3 应用程序。
这次攻击始于 2025 年 9 月的第一波浪潮,导致约 5000 万美元的��加密货币被盗。但正是 11 月的“第二次降临”(The Second Coming)展示了该行动真正的复杂性。11 月 21 日至 23 日期间,攻击者攻破了包括 Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase 和 Postman 在内的主要项目的开发基础设施。
其传播机制优雅而恐怖。当 Shai-Hulud 感染一个合法的 npm 软件包时,它会注入两个恶意文件——setup_bun.js 和 bun_environment.js——由预安装脚本(preinstall script)触发。与安装后才激活的传统恶意软件不同,此有效载荷在安装完成前、甚至在安装失败时也会运行。当开发者意识到出现问题时,他们的凭据已经被窃取。
该蠕虫会识别受害开发者维护的其他软件包,自动注入恶意代码,并将新的受感染版本发布到 npm 注册表中。这种自动传播机制使得恶意软件能够在没有攻击者直接干预的情况下呈指数级扩散。
受感染的 npm 软件包与 Trust Wallet 黑客事件之间的联系揭示了供应链攻击是如何从开发者级联到终端用户的。
Trust Wallet 的调查显示,其开发者的 GitHub 机密在 11 月的 Shai-Hulud 爆发期间泄露。这种泄露让攻击者获得了浏览器扩展程序的源代码,更关键的是,获得了 Chrome 网上应用店(Chrome Web Store)的 API 密钥。凭借这些凭据,攻击者完全绕过了 Trust Wallet 的内部发布流程。
2025 年 12 月 24 日,版本号为 2.68 的 Trust Wallet Chrome 扩展程序出现在 Chrome 网上应用店中——由攻击者发布,而非 Trust Wallet 开发者。恶意代码旨在遍历��扩展程序中存储的所有钱包,并为每个钱包触发助记词请求。无论用户使用密码还是生物识别进行身份验证,他们的助记词都会被悄悄地发送到攻击者控制的服务器,并伪装成合法的分析数据。
被盗资金构成如下:约 300 万美元的比特币、超过 300 万美元的以太坊,以及少量的 Solana 和其他代币。在几天之内,攻击者开始通过中心化交易所洗钱——330 万美元流向 ChangeNOW,34 万美元流向 FixedFloat,44.7 万美元流向 KuCoin。
最令人不安的可能是 Shai-Hulud 恶意软件的“死人开关”(dead man's switch)机制。如果蠕虫无法通过 GitHub 或 npm 进行身份验证——即如果其传播和窃取渠道被切断——它将删除用户家目录中的所有文件。
这种破坏性功能具有多种目的。它惩罚了探测尝试,制造混乱以掩盖攻击者的行踪,并在防御者试图切断命令与控制(C2)基础设施时提供筹码。对于没有进行适当备份的开发者来说,一次失败的清理尝试可能会导致在凭据被盗之外遭受灾难性的数据丢失。
攻击者还表现出了心理上的复杂性。当 Trust Wallet 宣布发生违规事件时,同样的攻击者利用随之而来的恐慌发起了一场网络钓鱼活动,创建了虚假的 Trust Wallet 品牌网站,要求用户输入恢复助记词进行“钱包验证”。一些受害者甚至遭到了二次攻击。
币安(Binance)联合创始人赵长鹏(CZ)暗示,Trust Wallet 的漏洞“极有可能”是由内部人士或事先拥有部署权限的人实施的。Trust Wallet 自身的分析表明,攻击者可能在 2025 年 12 月 8 日之前就已经获得了开发者设备的控制权或获得了部署权限。
安全研究人员指出了一些暗示可能有国家级力量参与的模式。攻击时间选在圣诞夜,遵循了高级持续性威胁(APT)的常见剧本:在安全团队人员不足的节假日进行攻击。Shai-Hulud 活动的技术复杂性、规模以及资金的快速洗白,表明其背后的资源超出了典型的犯罪行动。
Trust Wallet 事件突显了加密货币安全模型中的一个根本性漏洞。浏览器扩展拥有极高的权限——它们可以读取和修改网页,访问本地存储,而在加密钱包的情况下,它们还掌握着价值数百万美元的密钥。
攻击面非常巨大:
这不是加密货币用户第一次遭受浏览器扩展攻击。之前的事件包括针对 VS Code 扩展的 GlassWorm 活动和 FoxyWallet Firefox ��扩展诈骗。但 Trust Wallet 的漏洞是按美元计算规模最大的,并展示了供应链泄露如何放大扩展攻击的影响。
币安(Binance)确认,受影响的 Trust Wallet 用户将通过其用户安全资产基金(SAFU)获得全额补偿。该基金成立于 2018 年交易所被黑事件后,储备了一部分交易费用,专门用于支付安全事件造成的用户损失。
赔付决定树立了一个重要的先例,也提出了一个关于责任分配的有趣问题。Trust Wallet 被攻破并非由于在受影响窗口期打开钱包的用户的直接过错。但根本原因是供应链攻击破坏了开发人员的基础设施,而这反过来又是由 npm 中更广泛的生态系统漏洞造成的。
Trust Wallet 的即时响应包括:使所有发布 API 过期以在两周内阻止新版本发布;向注册商举报恶意的资产窃取域名(导致其迅速被封禁);以及推送干净的 2.69 版本。建议在 12 月 24 日至 26 日期间解锁过扩展的用户立即将资金迁移到新钱包。
Shai-Hulud 活动暴露了远超出 Trust Wallet 范围的系统性漏洞:
显式固定依赖项。 preinstall 脚本漏洞之所以有效,是因为 npm install 可以运行任意代码。将其固定到已知的干净版本可以防止自动更新引入被攻破的软件包。
将秘密视为已泄露。 任何在 2024 年 11 月 21 日至 2025 年 12 月之间拉取过 npm 包的项目都应假设凭据已暴露。这意味着需要撤销并重新生成 npm 令牌、GitHub PATs、SSH 密钥和云提供商凭据。
实施适当的秘密管理。 用于应用商店发布等关键基础设施的 API 密钥绝不应存储在版本控制系统中,即使在私有存储库中也是如此。使用硬件安全模块(HSM)或专用的秘密管理服务。
强制执行抗钓鱼的 MFA。 标准的双因素身份验证可以被复杂的攻击者绕过。像 YubiKeys 这样的硬件密钥为开发人员和 CI/CD 账户提供了更强的保护。
多样化钱包基础设施。 不要将所有资金都放在浏览器扩展中。硬件钱包提供与软件漏洞的隔离——它们可以签署交易,而无需向可能被攻破的浏览器泄露助记词。
假设更新可能是恶意的。 让软件变得便捷的自动更新模型也使其变得脆弱。考虑禁用安全关键型扩展的自动更新并手动验证新版本。
监控钱包活动。 对异常交易进行警报的服务可以提供泄露的早期预警,在攻击者耗尽整个钱包之前限制损失。
加强 npm 生态系统。 npm 注册表是 Web3 开发的关键基础设施,但它缺乏许多可以防止蠕虫式传播的安全功能。强制性的代码签名、可重复构建以及包更新的异常检测可以显著提高攻击者的门槛。
重新思考浏览器扩展安全。 现有的模型——扩展自动更新并拥有广泛的权限——在持有大额资产的安全要求面前,从根本上是不兼容的。沙箱执行环境、带有用户审核的延迟更新以及减少权限可能会有所帮助。
协调事件响应。 Shai-Hulud 活动影响了加密生态系统中的数百个项目。更好的信息共享和协调响应可以在识别出受损软件包时限制损害。
加密货币行业历来将安全工作的重点放在智能合约审计、交易所冷存储和面向用户的防钓鱼保护上。Shai-Hulud 活动证明,最危险的攻击可能来自被攻破的开发人员工具——这些基础设施加密用户从未直接与之交互,但却是他们使用的每个应用程序的基础。
随着 Web3 应用程序变得越来越复杂,它们的依赖图也变得越来越庞大。每个 npm 包、每个 GitHub action、每个 CI/CD 集成都代表了一个潜在的攻击向量。行业对 Shai-Hulud 的反应将决定这会成为一次性的警钟,还是加密基础设施供应链攻击时代的开始。
目前,攻击者的身份尚未确定。大约 280 万美元的 Trust Wallet 被盗资金仍留在攻击者钱包中,其余资金已通过中心化交易所和跨链桥洗白。更广泛的 Shai-Hulud 活动早期窃取的 5,000 多万美元资金已大部分消失在区块链的伪匿名深处。
沙虫(Sandworm)已经深深钻入了加密货币的基石。要将其根除,需要重新思考该行业自诞生之初就习以为常的安全假设。
构建安全的 Web3 应用程序需要强大的基础设施。BlockEden.xyz 提供企业级 RPC 节点和 API,内置监控和异常检测功能,帮助开发人员在影响用户之前识别异常活动。探索我们的 API 市场,在注重安全的基础上进行构建。
2025 年,个人钱包被盗事件激增至 15.8 万起,影响了 8 万名唯一的受害者,仅个人钱包就损失了 7.13 亿美元。这不仅仅是交易所黑客攻击或协议漏洞——而是普通加密货币用户的积蓄被攻击者洗劫,而这些攻击者的手段早已进化到远超简单的钓鱼邮件。个人钱包被盗目前占所有被盗加密货币总价值的 37%,而 2022 年这一比例仅为 7.3%。传递出的信息非常明确:如果你持有加密货币,你就是目标,昨天的保护策略已经不再足够。
仅在 2025 年上半年,攻击者就从加密协议中提取了超过 23 亿美元——超过了 2024 年全年的总和。仅访问控制漏洞就造成了其中 16 亿美元的惨剧。2025 年 2 月发生的 Bybit 黑客攻击是一场损失达 14 亿美元的供应链攻击,它证明了即使是最大的交易所也依然脆弱。随着我们进入 2026 年,智能合约审计行业正面临其最关键的时刻:要么进化,要么眼睁睁看着数百亿美元继续消失在攻击者的钱包中。
2025 年 2 月 21 日,朝鲜黑客在大约 30 分钟内从总部位于迪拜的交易所 Bybit 窃取了 15 亿美元的加密货币。这不仅是历史上最大的加密货币劫案——如果 Bybit 是一家银行,它将被吉尼斯世界纪录列为有史以来最大的银行抢劫案。
此次攻击并非利用了智能合约漏洞或暴力破解私钥。相反,黑客入侵了一家第三方钱包供应商的一名开发人员的笔记本电脑,耐心等待了数周,并在 Bybit 员工批准看起来像是常规内部转账的操作时果断出击。当人们意识到出现问题时,500,000 ETH 已经消失在由朝鲜 Lazarus Group 控制的迷宫般的钱包中。
这是关于它是如何发生、为什么重要,以及它揭示了 2025 年加密货币安全状况的故事。
Bybit 黑客攻击并不是一次简单的抢劫,而是一场持续数周的精密手术式行动。
2025 年 2 月 4 日,Safe{Wallet}(Bybit 用来保护大额转账的广泛使用的多签名钱包平台)的一名开发人员下载了一个看似合法的名为 “MC-Based-Stock-Invest-Simulator-main” 的 Docker 项目。该文件很可能是通过社交工程攻击发送的,可能伪装成工作机会或投资工具。
恶意的 Docker 容器立即建立了与攻击者控制的服务器的连接。随后,黑客从开发人员的工作站中提取了 AWS 会话令牌——这些是授予 Safe{Wallet} 云基础设施访问权限的临时凭据。
凭借这些令牌,攻击者完全绕过了多因素身份验证。他们现在掌握了通往 Safe{Wallet} 王国的钥匙。
攻击者并未立即采取行动,而是在 Safe{Wallet} 的 Web 界面中注入了隐蔽的 JavaScript 代码。这段代码是专门为 Bybit 设计的——它会一直处于潜伏状态,直到检测到 Bybit 员工打开了他们的 Safe 账户并准备授权一笔交易。
这种复杂程度令人惊叹。对于其他所有用户,整个 Safe{Wallet} 应用程序运行正常。只有 Bybit 成了目标。
2025 年 2 月 21 日,Bybit 员工发起了一项本应是常规的从冷钱包(安全、离线存储)到温钱包(用于活跃交易)的转账。这需要授权人员的多重签名——这是一种标准的安全实践,称为多签(multisig)。
当签名者打开 Safe{Wallet} 批准交易时,界面显示了看似正确的接收地址。但恶意代码已经替换了不同的指令。员工在不知情的情况下批准了一项清空 Bybit 整个冷钱包的交易。
几分钟内,500,000 ETH(价值约 15 亿美元)流向了攻击者控制的地址。
关键漏洞在于以太坊的 delegatecall 函数,该函数允许智能合约在自己的存储上下文中执行另一个合约的代码。攻击者诱使 Bybit 的签名者将他们的钱包合约逻辑更改为恶意版本,从而有效地授予了黑客完全控制权。
这不仅仅是以太坊或 Safe{Wallet} 核心协议中的漏洞。这是一场针对人为层面的攻击——即信任的员工验证和批准交易的时刻。
攻击发生后的 24 小时内,区块链调查员 ZachXBT 向 Arkham Intelligence 提交了证据,明确将此次攻击与朝鲜的 Lazarus Group 联系起来。联邦调查局(FBI)于 2025 年 2 月 26 日确认了这一归属。
Lazarus Group(也称为 TraderTraitor 和 APT38)在朝鲜侦察总局下属运作。它不是一个为了个人利益而谋利的犯罪团伙。这是一个由国家资助的行动��,其所得用于资助朝鲜的核武器和弹道导弹计划。
数据令人震惊:
朝鲜占 2025 年全球所有被盗加密货币的 59%,以及所有交易所入侵事件的 76%。没有其他威胁行为者能与之相提并论。
让朝鲜与众不同的不仅是规模,还有其行动的复杂程度。
2025 年的大多数重大攻击都是通过社交工程而非技术漏洞实施的。这代表了一个根本性的转变。黑客不再主要寻找智能合约漏洞或加密弱点。他们瞄准的是人。
Lazarus Group 的特工已经以 IT 工作者的身份潜入加密货币公司。他们冒充高管。他们向开发人员发送包含恶意软件的工作邀请。Bybit 的攻击始于一名开发人员下载了一个虚假的股票交易模拟器——这是一个典型的社交工程媒介。
窃取加密货币仅仅是挑战的一半。在不被抓获的情况下将其转换为可用资金同样复杂。
朝鲜并没有直接变现,而是将洗钱业务外包给了调查人员所称的 “中国洗钱网络” (Chinese Laundromat) —— 一个由地下钱庄、OTC 经纪人和基于贸易的洗钱中介组成的庞大网络。这些角色跨链、跨司法管辖区和跨支付渠道清洗被盗资产。
到 2025 年 3 月 20 日 —— 即 Bybit 被黑事件发生不到一个月后 —— 首席执行官周本 (Ben Zhou) 报告称,黑客已经通过多个中介钱包、去中心化交易所和跨链桥,将 86.29% 的被盗 ETH 转换为比特币。重大盗窃案发生后为期 45 天的洗钱周期已成为一种可预测的模式。
尽管付出了这些努力,周本指出 88.87% 的被盗资产仍可追溯。但 “可追溯” 并不意味着 “可追回”。资金流经的司法管辖区与美国或国际执法部门没有合作关系。
在发现漏洞后的 30 分钟内,首席执行官周本接管了指挥权,并开始在 X (前 Twitter) 上提供实时更新。他的信息非常直白:“即使这笔黑客损失无法追回,Bybit 仍具有偿付能力,所有客户资产均有 1:1 准备金支持,我们可以弥补损失。”
该交易所在 12 小时内处理了超过 350,000 份提币请求 —— 向用户发出信号,尽管损失惨重,业务仍将正常运行。
在 72 小时内,Bybit 通过从 Galaxy Digital、FalconX 和 Wintermute 等合作伙伴处获得 447,000 ETH 的紧急融资,补充了其储备。Bitget 借出了 40,000 ETH 以确保提币不间断 —— Bybit 在三天内偿还了这笔借款。
网络安全公司 Hacken 进行了储备证明审计,确认 Bybit 的主要资产拥有超过 100% 的抵押支持。对于这种规模的危机,这种透明度是前所未有的。
周本宣布 “向 Lazarus 宣战”,并启动了一项全球赏金计划,为导致资产冻结的信息提供高达 10% 的奖励。到年底,Bybit 已向帮助追踪或追回资金的贡献者支付了 218 万美元的 USDT。
到 2025 年底,Bybit 全球用户数突破 8000 万,日交易量达到 71 亿美元,在加密货币现货交易所中排名第 5。这次危机应对已成为如何从灾难性黑客攻击中幸存下来的案例研究。
Bybit 黑客攻击占据了头条新闻,但这只是更大模式的一部分。2025 年加密货币盗窃总额达到 34 亿美元 —— 创下新纪录,且为连续第三年增长。
关键统计数据:
朝鲜的份额从大约一半增长到所有加密货币盗窃案的近 60%。朝鲜民主主义人民共和国 (DPRK) 以更少的事件实现了更大规模的盗窃,展示了不断提高的效率和复杂性。
Bybit 黑客攻击暴露了远远超出单一交易所的关键漏洞。
Bybit 本身并没有发生安全故障。Safe{Wallet} 出了问题。但 Bybit 承担了后果。
加密行业构建了复杂的依赖链,交易所依赖钱包提供商,钱包提供商依赖云基础设施,而云基础设施依赖于个人开发者的工作站。这条链条上任何一个环节的妥协都可能导致灾难性的连锁反应。
长期以来,行业一直将冷钱包视为安全的金标准。但 Bybit 的资金在被盗时正处于冷存储中。漏洞出现在移动资金的过程中 —— 即多重签名旨在保护的人工审批步骤。
当转账变得常规化时,签名者会产生一种虚假的安全感,将审批视为形式,而不是关键的安全决策。Bybit 的攻击正是利用了这种行为模式。
多重签名安全假设签名者可以验证他们正在批准的内容。但如果显示交易详情的界面被篡改,验证就变得毫无意义。攻击者向签名者展示了一套内容,却执行了另一套操作。
预签名模拟 —— 允许员工在批准前预览交易的实际目的地 —— 本可以防止这种攻击。针对大额提币的延迟处理也是如此,这能为额外审查争取时间。
你可以拥有世界上最复杂的密码学安全系统,但一个员工下载了错误的文件就可以绕过这一切。加密货币安全的薄弱环节日益趋向于人为因素,而非技术因素。
Bybit 黑客攻击已经在重塑监管格局。
预计对以下方面�的强制性要求:
安全和合规正在成为市场准入的门槛。项目项目若无法证明其拥有强大的密钥管理、权限设计和可靠的安全框架,将发现自己与银行合作伙伴和机构用户隔绝。
Bybit 遭黑客攻击揭示了一个令人不安的事实:加密货币的安全模型仅与其最薄弱的运营环节一样强大。
整个行业在密码学安全方面投入了巨资——零知识证明、阈值签名、安全飞地(Secure Enclaves)。但如果攻击者能够诱骗人类批准恶意交易,那么最复杂的密码学也无济于事。
对于交易所来说,这一信息很明确:安全创新必须超越技术本身,涵盖运营流程、第三方风险管理和持续的员工培训。定期审计、协作式威胁情报共享和应急响应计划不再是可选项。
对于用户来说,教训同样深刻:即使是拥有最先进安全措施的大型交易所也可能被攻破。自托管、硬件钱包和分布式资产存储仍然是长期来看最安全的策略——即使它们不太方便。
朝鲜的 Lazarus Group 已经将加密货币盗窃工业化。自 2017 年以来,他们已窃取了超过 67.5 亿美元,而 2025 年是他们迄今为止最成功的一年。仅 Bybit 遭黑客攻击这一项��——单次行动就获利 15 亿美元——就展示了足以让任何情报机构垂涎的能力。
加密行业正处于一场与国家支持的黑客的军备竞赛中,这些黑客拥有无限的耐心、尖端的技术能力,且无惧后果。Bybit 攻击之所以成功,并非因为任何新颖的漏洞利用,而是因为攻击者明白人,而非代码,才是最薄弱的环节。
在该行业以对待密码学安全同样的严谨态度对待运营安全之前,此类攻击仍将继续。问题不在于是否会再次发生十亿美元级别的黑客攻击,而在于何时发生,以及目标是否能像 Bybit 那样有效地做出反应。
本文仅用于教育目的,不应被视为财务建议。在与加密货币交易所和钱包互动时,请务必自行开展研究并优先考虑安全性。