15亿美元Bybit黑客事件：操作安全失效时代已来临

攻击事件

2025年2月21日，加密货币交易所Bybit遭遇了历史上最大的加密货币盗窃案，攻击者从其多签冷存储钱包中窃取了约15亿美元。目前看来，攻击者入侵了多个签名者的设备，操纵了签名者在钱包界面中看到的内容，并在签名者认为自己在进行常规交易时收集了所需的签名。

这次黑客事件是中心化交易所被入侵方式发生戏剧性转变的众多案例之一。多年来，行业一直专注于强化代码和改进技术安全实践，但随着生态系统安全开发生命周期的成熟，攻击者已转向针对加密货币交易所和其他组织的人员和操作要素。

这些攻击揭示了一种不断升级的模式，每次入侵都建立在前一次的基础上：

WazirX交易所（2.3亿美元，2024年7月）
Radiant Capital（5000万美元，2024年10月）
Bybit交易所（15亿美元，2025年2月）

在每种情况下，攻击者都没有利用智能合约或应用层漏洞。相反，他们使用复杂的恶意软件入侵了用于管理这些系统的计算机，操纵用户看到的内容与实际签署的内容。

朝鲜的加密货币盗窃基础设施

这些黑客事件并非孤立事件。根据Arkham Intelligence的数据，著名研究员ZachXBT提供了确凿证据，将此攻击与朝鲜联系起来，包括对漏洞利用前使用的测试交易和连接钱包的详细分析。这些事件代表了朝鲜国家资助的威胁行为者开发的复杂攻击能力的成熟，具体是被追踪为TraderTraitor、Jade Sleet、UNC4899和Slow Pisces等组织，隶属于朝鲜侦察总局（RGB）。

图1：朝鲜侦察总局（RGB）下属网络威胁行为者的组织结构。此图表显示了不同威胁组及其各种行业名称之间的关系。来源：Palo Alto Networks Unit 42，2024年9月

攻击链通常始于针对组织内多名员工的激进社交工程活动。RGB识别系统管理、软件开发和财务角色的关键人员，然后根据每个目标的背景和兴趣创建详细 pretext——通常是精心设计的工作招聘计划。这些不是大规模钓鱼活动；它们是精心设计的方法，旨在入侵具有关键系统访问权限的特定个人。

这些攻击特别令人担忧的是它们的可重复性。RGB构建了一个复杂的跨平台工具包，可以：

在Windows、MacOS和各种钱包界面之间无缝操作
在保持持久性的同时显示最小的入侵迹象
作为后门执行任意命令
下载并执行额外的恶意负载
操纵用户在界面中看到的内容

每次成功的入侵都让RGB能够改进他们的工具和技术。他们不是从每个目标从头开始——他们正在执行一个经过测试的剧本，该剧本专门设计用于在标准加密货币安全控制单独使用时击败它们。

低于某个安全阈值的组织现在面临严重风险。如果没有全面的安全控制，包括：

气隙签名系统
多层交易验证
端点检测和响应（EDR）系统，如CrowdStrike或SentinelOne
定期安全培训和战争游戏

他们很可能会面对一个已经构建并测试了击败其现有保护所需的确切工具的对手。

加密货币安全的新现实

这次攻击突显了一个基本事实：没有任何单一的安全控制，无论多么强大，都能保护免受针对操作安全的复杂攻击者的侵害。虽然安全代码仍然至关重要，但它必须是全面安全策略的一部分。

组织必须采用新的流程和控制措施，这些措施基于其基础设施最终将面临入侵的假设：

基础设施分段：像交易签名这样的关键操作需要与日常业务操作在物理和逻辑上分离。这种隔离确保企业系统的漏洞不能直接影响签名基础设施。关键操作应使用专用硬件、独立网络和严格控制的访问协议。

深度防御：安全控制必须协同工作——硬件钱包、多签名方案和交易验证工具各自提供重要保护，但真正的安全来自它们的协调操作。组织需要多个重叠的控制措施，能够检测和防止复杂攻击。

组织准备：技术控制必须由全面的安全计划支持，包括：

包含技术和操作风险的全面威胁建模
对基础设施和程序的定期第三方安全评估
记录良好且经常测试的事件响应计划
针对特定角色的持续安全意识培训
测试系统和人员的战争游戏和攻击模拟

这些原则并不新鲜——它们代表了传统金融和加密货币多年安全事件中来之不易的教训。Trail of Bits一直倡导这种全面的安全方法，通过几个关键出版物提供具体指导：

安全使用加密货币硬件钱包的10条规则（2018年） - 我们关于硬件钱包安全的基础指南，特别警告了硬件钱包入侵的风险以及对高保证工作站的需求——正是今天攻击中利用的问题类型。
管理区块链部署中的操作风险（2022年） - 一个突出中心化基础设施风险的综合框架，并为实施深度防御方法保护高价值加密货币操作提供具体指导。
Rekt测试 - 我们评估基本安全控制的简单框架（2023年） - 我们简单但全面的框架，用于评估基本安全控制，强调适当密钥管理、基础设施分离和事件响应计划的关键重要性——所有这些因素在今天的事件中都被证明至关重要。
防止加密货币交易所账户接管（2025年） - 对针对加密货币交易所的攻击模式的详细分析，预测了行业从技术利用转向操作攻击的转变。

这些出版物显示了一个清晰的模式，与最近的攻击相呼应：复杂的攻击者越来越多地针对操作安全漏洞而不是技术缺陷。

加密货币行业对实施传统企业安全控制的抵制，加上潜在目标的高价值和该组织的复杂能力，表明除非加密货币公司在操作安全方法上做出重大改变，否则这些攻击可能会继续。

前进之路

Bybit黑客事件标志着加密货币安全的新时代。行业参与者需要认识到不断变化的威胁形势，并投入额外资源来改进其操作安全。没有人比一直跟踪这些攻击的安全研究人员更了解这一现实。

以揭露链上盗窃、剖析朝鲜加密货币黑客事件并强烈倡导更好的区块链安全实践而闻名的著名安全研究员Tay @tayvano_ bluntly总结了当前现实：

出于所有这些原因以及更多原因，我的观点是，一旦他们进入你的设备，你就完蛋了。结束。如果你的密钥是热存储或在AWS中，他们会立即搞垮你。如果不是，他们会稍微努力一点来搞垮你。但无论如何，你都会被搞垮。

组织必须通过结合隔离、验证、检测和强大操作安全控制的全面防御策略来保护自己。然而，基本安全措施的时代已经过去。持有大量加密货币资产的组织必须立即采取行动：

使用我们“管理区块链部署中的操作风险”等既定框架进行全面的操作风险评估
实施专用的、气隙的签名基础设施
与有防御复杂国家行为者经验的安全团队合作
构建并定期测试事件响应计划