文章來源：Elliptic；編譯：金色財經xiaozou

2025年2月21日，總部位于迪拜的Crypto交易所Bybit遭遇了約14.6億美元的加密資產被盜事件。初步報告顯示，攻擊者使用了惡意軟件誘騙交易所批準了將資金轉移至竊賊賬戶的交易。

這是迄今為止規模最大的Crypto盜竊案，遠超2021年PolyNetwork被盜的6.11億美元（且該案中大部分資金最終被黑客歸還）。事實上，這幾乎可以確定是有史以來最大規模的單一盜竊案，此前該紀錄的保持者還是薩達姆·侯賽因，他在2003年伊拉克戰爭前夕從伊拉克中央銀行盜取了10億美元。

Lazarus集團的*洗*錢過程通常遵循一個典型模式。第一步是將所有被盜的Tokens兌換為“原生”Blockchain資產，如ETH。這是因為Tokens有發行方，在某些情況下可以“凍結”包含被盜資產的錢包，而ETH或Bitcoin則沒有中央機構可以凍結。

這正是Bybit盜竊案發生后的幾分鐘內發生的情況，數億美元的被盜Tokens（如stETH和cmETH）被兌換為ETH。攻擊者使用DEX（DEXs）完成這一操作，可能是為了避免在使用CEX*洗*錢時可能遇到的資產凍結情況。

*洗*錢過程的第二步是對被盜資金進行“分層”，以試圖掩蓋交易路徑。Blockchain的透明性意味著這些交易路徑可以被追蹤，但這些分層策略會使追蹤過程復雜化，為*洗*錢者爭取寶貴的變現時間。分層過程可以采取多種形式，包括：

通過大量Crypto錢包轉移資金

使用跨鏈橋或交易所將資金轉移到其他Blockchain

使用DEXs、Tokens交換服務或交易所在不同加密資產之間切換

使用“混幣器”，如TornadoCash或Cryptomixer

Lazarus集團目前正處于*洗*錢的第二階段。盜竊發生后的兩小時內，被盜資金被發送到50個不同的錢包，每個錢包持有約10,000ETH。這些錢包正在被系統性地清空——截至UTC時間2月23日晚上10點，10%的被盜資產（現價值1.4億美元）已從這些錢包中轉移。

一旦資金從這些錢包中轉移，它們將通過各種服務進行*洗*錢，包括DEXs、跨鏈橋和CEX。然而，一個名為eXch的Crypto交易所已成為此次*洗*錢的主要的自愿協助者。eXch以其允許用戶匿名交換加密資產而聞名，這使其被用于交換來自犯罪活動的數億美元加密資產，包括朝鮮實施的多次盜竊。自黑客攻擊以來，價值數千萬美元的Bybit被盜加密資產已通過eXch進行交換。盡管Bybit直接提出請求，但eXch仍拒絕阻止這一活動。

被盜的ETH正在通過eXch和其他服務逐步轉換為Bitcoin。如果遵循以往的*洗*錢模式，我們可能會看到接下來使用混幣器進一步混淆交易路徑。然而，由于被盜資金規模巨大，這可能具有一定挑戰性。

朝鮮的Lazarus集團是現有最“專業”且資源最豐富的加密資產*洗*錢者，他們不斷調整技術以逃避被盜資產被識別和扣押。自Bybit盜竊案發生后的幾分鐘起，Elliptic團隊就與Bybit、客戶及其他調查人員全天候合作，追蹤這些資金并阻止朝鮮政權從中獲益。