15亿美元Bybit黑客事件:运营安全失效时代已至

本文深度剖析2025年2月Bybit交易所遭朝鲜黑客组织攻击事件,揭示1.5亿美元加密货币被盗的技术细节,分析DPRK网络攻击基础设施,并提出应对新型运营安全威胁的深度防御策略。

15亿美元Bybit黑客事件:运营安全失效时代已至

攻击事件

2025年2月21日,加密货币交易所Bybit遭遇史上最大规模加密货币盗窃案,攻击者从其多签冷钱包中盗取约15亿美元。目前证据显示,攻击者通过入侵多名签名者的设备,操纵其在钱包界面中看到的内容,在签名者认为正在进行常规交易时收集所需签名。

此次黑客事件代表了中心化交易所被攻陷方式的重大转变。多年来,行业一直专注于强化代码和改进技术安全实践,但随着生态系统安全开发生命周期的成熟,攻击者已转向针对加密货币交易所及其他组织的人员和运营环节。

这些攻击呈现出逐步升级的模式:

  • WazirX交易所(2.3亿美元,2024年7月)
  • Radiant Capital(5000万美元,2024年10月)
  • Bybit交易所(15亿美元,2025年2月)

在每个案例中,攻击者并未利用智能合约或应用层漏洞,而是通过复杂恶意软件入侵管理系统计算机,操纵用户所见内容与实际签署内容。

朝鲜加密货币盗窃基础设施

这些黑客事件并非孤立 incidents。根据Arkham Intelligence数据,著名研究员ZachXBT已提供确凿证据将此攻击与朝鲜联系起来,包括对漏洞利用前使用的测试交易和关联钱包的详细分析。这些事件代表了朝鲜国家资助威胁行为体开发的成熟攻击能力,特别是被追踪为TraderTraitor、Jade Sleet、UNC4899和Slow Pisces的组织,这些组织隶属于朝鲜侦察总局(RGB)。

图1:朝鲜侦察总局下属网络威胁行为体组织结构图。该图表显示了不同威胁组织及其各种行业代号之间的关系。来源:Palo Alto Networks Unit 42,2024年9月

攻击链通常始于针对组织内多名员工的激进社会工程活动。RGB识别系统管理、软件开发和财务职位的关键人员,然后根据每个目标的背景和兴趣创建详细 pretext——通常是精心设计的招聘方案。这些不是大规模钓鱼活动,而是精心策划的方法,旨在攻陷具有关键系统访问权限的特定个人。

这些攻击特别令人担忧的是其可重复性。RGB构建了复杂的跨平台工具包,能够:

  • 在Windows、MacOS和各种钱包界面间无缝操作
  • 在保持持久性的同时显示最小入侵迹象
  • 作为后门执行任意命令
  • 下载并执行额外恶意载荷
  • 操纵用户在界面中看到的内容

每次成功的入侵都让RGB能够改进其工具和技术。他们不是从零开始针对每个目标,而是执行经过测试的攻击剧本,专门设计用于在单独使用标准加密货币安全控制时击败这些控制。

低于特定安全阈值的组织现在面临严重风险。如果没有全面的安全控制,包括:

  • 空气隔离签名系统
  • 多层交易验证
  • 端点检测与响应(EDR)系统(如CrowdStrike或SentinelOne)
  • 定期安全培训和攻防演练

这些组织很可能面对已经构建并测试了击败其现有防护所需精确工具的对手。

加密货币安全的新现实

这次攻击突显了一个基本事实:没有任何单一安全控制,无论多么强大,能够保护免受针对运营安全的复杂攻击。虽然安全代码仍然至关重要,但它必须是全面安全战略的一部分。

组织必须采用新的流程和控制,假设其基础设施最终将面临入侵:

  • 基础设施分割:交易签名等关键操作需要与日常业务操作在物理和逻辑上分离。这种隔离确保企业系统被入侵不会直接影响签名基础设施。关键操作应使用专用硬件、独立网络和严格控制的访问协议。

  • 深度防御:安全控制必须协同工作——硬件钱包、多签名方案和交易验证工具各自提供重要保护,但真正的安全来自它们的协调运作。组织需要多个重叠的控制措施来检测和预防复杂攻击。

  • 组织准备:技术控制必须得到全面安全计划的支持,包括:

    • 包含技术和运营风险的彻底威胁建模
    • 基础设施和程序的定期第三方安全评估
    • 完善记录并经常测试的事件响应计划
    • 针对特定角色的持续安全意识培训
    • 测试系统和人员的攻防演练和攻击模拟

这些原则并不新鲜——它们代表了传统金融和加密货币领域多年安全事件中获得的宝贵经验。Trail of Bits一直倡导这种全面的安全方法,通过多个关键出版物提供具体指导:

  • 《加密货币硬件钱包安全使用10条规则》(2018年)- 我们关于硬件钱包安全的基础指南,特别警告了硬件钱包被入侵的风险以及需要高保证工作站——正是今天攻击中利用的问题类型。

  • 《区块链部署中的运营风险管理》(2022年)- 一个突出中心化基础设施风险的综合框架,并为实施深度防御方法保护高价值加密货币操作提供具体指导。

  • 《Rekt测试——评估基本安全控制的简单框架》(2023年)- 我们简单但全面的评估基本安全控制框架,强调适当密钥管理、基础设施分离和事件响应计划的关键重要性——所有这些因素在今天的 incident 中都被证明至关重要。

  • 《防止加密货币交易所账户接管》(2025年)- 对针对加密货币交易所的攻击模式的详细分析,预测了行业从技术利用转向运营攻击的转变。

这些出版物显示了一个清晰的模式,与最近的攻击相呼应:复杂攻击者越来越多地针对运营安全漏洞而非技术缺陷。

加密货币行业对实施传统企业安全控制的抵制,加上潜在目标的高价值和该组织的复杂能力,表明除非加密货币公司在运营安全方法上做出重大改变,否则这些攻击可能会继续。

前进之路

Bybit黑客事件标志着加密货币安全的新时代。行业参与者需要认识到不断演变的威胁格局,并投入额外资源改进其运营安全。没有人比一直追踪这些攻击的安全研究人员更了解这一现实。

著名安全研究员Tay @tayvano_(以揭露链上盗窃、分析朝鲜加密货币黑客事件和强烈倡导更好的区块链安全实践而闻名)直率地总结了当前现实:

“基于所有这些原因,我的观点是:一旦他们进入你的设备,你就完蛋了。结局就是这样。 如果你的密钥是热存储或在AWS中,他们会立即搞垮你。 如果不是,他们会稍微努力一点来搞垮你。 但无论如何,你都会被搞垮。”

组织必须通过结合隔离、验证、检测和强大运营安全控制的全面防御策略来保护自己。然而,基本安全措施的时代已经过去。持有大量加密货币资产的组织必须立即采取行动:

  • 使用我们《区块链部署中的运营风险管理》等成熟框架进行彻底的运营风险评估
  • 实施专用的、空气隔离的签名基础设施
  • 与有防御复杂国家行为体经验的安全团队合作
  • 建立并定期测试事件响应计划

下一次十亿美元级别的黑客事件不是是否会发生的问题,而是何时发生的问题。唯一的问题是:你的组织准备好了吗?

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次