15亿美元Bybit黑客事件：操作安全失效时代已来临

攻击事件

2025年2月21日，加密货币交易所Bybit遭遇了历史上最大的加密货币盗窃事件，攻击者从其多签冷存储钱包中盗取了约15亿美元。目前看来，攻击者入侵了多个签名者的设备，操纵了签名者在钱包界面中看到的内容，并在签名者认为自己在进行常规交易时收集了所需的签名。

这次黑客事件是众多事件中的一个，代表了中心化交易所被入侵方式的 dramatic 转变。多年来，行业一直专注于强化代码和改进技术安全实践，但随着生态系统安全开发生命周期的成熟，攻击者已将目标转向加密货币交易所和其他组织的人员和操作元素。

这些攻击揭示了一个不断升级的模式，每次入侵都建立在前一次的基础上：

WazirX交易所（2.3亿美元，2024年7月）
Radiant Capital（5000万美元，2024年10月）
Bybit交易所（15亿美元，2025年2月）

在每种情况下，攻击者都没有利用智能合约或应用级漏洞。相反，他们使用复杂的恶意软件入侵了用于管理这些系统的计算机，操纵用户看到的内容与实际签署的内容。

朝鲜的加密货币盗窃基础设施

这些黑客事件并非孤立事件。根据Arkham Intelligence的数据，著名研究员ZachXBT提供了确凿证据，将这些攻击与朝鲜联系起来，包括对攻击前使用的测试交易和连接钱包的详细分析。这些事件代表了朝鲜国家支持的威胁行为者开发的复杂攻击能力的成熟，具体包括被追踪为TraderTraitor、Jade Sleet、UNC4899和Slow Pisces等组织，隶属于朝鲜侦察总局（RGB）。

图1：朝鲜侦察总局（RGB）下属网络威胁行为者的组织结构。此图表显示了不同威胁组及其各种行业名称之间的关系。来源：Palo Alto Networks Unit 42，2024年9月

攻击链通常始于针对组织内多个员工同时进行的 aggressive 社会工程活动。RGB识别系统管理、软件开发和财务角色的关键人员，然后根据每个目标的背景和兴趣创建详细 pretexts——通常是精心设计的招聘计划。这些不是大规模钓鱼活动；它们是精心设计的方法，旨在入侵具有关键系统访问权限的特定个人。

这些攻击特别令人担忧的是它们的可重复性。RGB构建了一个复杂的跨平台工具包，可以：

在Windows、MacOS和各种钱包界面之间无缝操作
在保持持久性的同时显示 minimal 入侵迹象
作为后门执行任意命令
下载并执行额外的恶意负载
操纵用户在界面中看到的内容

每次成功的入侵都使RGB能够改进他们的工具和技术。他们不是从每个目标从头开始——他们正在执行一个经过测试的 playbook，专门设计用于在单独使用标准加密货币安全控制时击败它们。

低于某个安全阈值的组织现在面临严重风险。如果没有全面的安全控制，包括：

气隙签名系统
多层交易验证
端点检测和响应（EDR）系统，如CrowdStrike或SentinelOne
定期的安全培训和战争游戏

他们很可能会面对一个已经构建并测试了击败其现有保护所需的确切工具的对手。

加密货币安全的新现实

这次攻击突显了一个基本事实：没有任何单一的安全控制，无论多么 robust，可以保护 against 针对操作安全的复杂攻击者。虽然安全代码仍然至关重要，但它必须是全面安全策略的一部分。

组织必须采用新的流程和控制，假设其基础设施最终将面临入侵：

基础设施分段：关键操作（如交易签名）需要与日常业务操作进行物理和逻辑分离。这种隔离确保企业系统的 breach 不能直接影响签名基础设施。关键操作应使用专用硬件、独立网络和严格控制的访问协议。

深度防御：安全控制必须协同工作——硬件钱包、多签名方案和交易验证工具各自提供重要保护，但真正的安全来自它们的协调操作。组织需要多个重叠的控制，能够检测和防止复杂攻击。

组织准备：技术控制必须由全面的安全计划支持，包括：

包含技术和操作风险的彻底威胁建模
对基础设施和程序的定期第三方安全评估
记录良好且经常测试的事件响应计划
针对特定角色的持续安全意识培训
测试系统和人员的战争游戏和攻击模拟

这些原则并不新鲜——它们代表了传统金融和加密货币多年安全事件中 hard-won 的教训。Trail of Bits一直倡导这种全面的安全方法，通过几个关键出版物提供具体指导：

管理区块链部署中的操作风险（2022年） - 一个突出中心化基础设施风险的综合框架，并提供实施深度防御方法以保护高价值加密货币操作的具体指导。
Rekt测试 - 我们评估基本安全控制的简单框架（2023年） - 我们简单但 thorough 的框架，用于评估基本安全控制，强调 proper key management, infrastructure separation, and incident response planning - all factors that proved critical in today’s incident.
防止加密货币交易所账户接管（2025年） - 对针对加密货币交易所的攻击模式的详细分析， predicted the industry’s pivot from technical exploits toward operational attacks.

这些出版物显示了一个 clear pattern， recent attacks 也呼应了这一点：复杂攻击者 increasingly targeting operational security vulnerabilities rather than technical flaws.

加密货币行业对实施传统企业安全控制的 resistance， combined with the high value of potential targets and this group’s sophisticated capabilities, suggests these attacks are likely to continue unless significant changes are made to how cryptocurrency companies approach operational security.

前进之路

Bybit黑客事件标志着加密货币安全的新时代。行业参与者需要认识到不断演变的威胁 landscape，并投入 additional resources 来改进其操作安全。没有人比一直跟踪这些攻击的安全研究人员更了解这一现实。

Tay @tayvano_，一位以揭露链上盗窃、剖析朝鲜加密货币黑客事件并 fiercely advocating for better blockchain security practices 而闻名的著名安全研究员， bluntly summarized the current reality:

For all these reasons and more, it’s my opinion that once they get on your device, you’re fucked. The end. If your keys are hot or in AWS, they fuck you immediately. If they aren’t, they work slightly harder to fuck you. But no matter what, you’re going to get fucked.

组织必须通过结合隔离、验证、检测和 robust 操作安全控制的全面防御策略来保护自己。然而，基本安全措施的时代已经过去。持有 significant cryptocurrency assets 的组织必须立即采取行动：

使用 established frameworks like our “Managing Operational Risk in Blockchain Deployments” 进行 thorough operational risk assessment
实施 dedicated, air-gapped signing infrastructure
与 experienced in defending against sophisticated state actors 的安全团队合作
构建并 regularly test incident response plans