15 亿美元,48 小时:用 MerkleClaw 追踪 Bybit 黑客事件
声明:本文所有链上数据来源于公开区块链记录及安全机构已发布的公开报告。本文不包含任何非公开或涉密信息。分析仅用于教育目的,展示链上取证方法论。
事件概述
2025 年 2 月 21 日,加密货币交易所 Bybit 遭遇史上最大单次交易所黑客攻击。攻击者在约 30 分钟内从 Bybit 的以太坊冷钱包中盗取约 40 万枚 ETH,按当时价格折合约 15 亿美元。
多家安全机构随后将此次攻击归因于 Lazarus Group(朝鲜国家级黑客组织)。
这不只是一次盗窃——这是一场精心设计的多步骤链上洗钱行动。而链上数据,全程公开可查。
本文将展示:如果我们用 MerkleClaw 来追踪这笔资金,每一步会看到什么。
第一步:定位攻击起点
攻击者如何入侵
攻击并非从链上开始。Lazarus Group 使用了一种被称为「盲签名攻击」(Blind Signing Attack)的手法:
- 攻击者入侵了 Bybit 使用的第三方多签管理工具 Safe{Wallet} 的前端界面
- 篡改了 Bybit 运营团队看到的交易 UI——界面显示的是正常的内部转账,实际签名的却是将资金转移给攻击者的恶意交易
- Bybit 的多位签名者在不知情的情况下,授权了这笔交易
链上第一个可追踪节点:攻击者控制地址首次出现在以太坊主网,接收来自 Bybit 冷钱包的 ETH 转账。
MerkleClaw 操作:在交易图谱中输入 Bybit 已公开的冷钱包地址,MerkleClaw 会自动渲染出资金流出的第一跳,标记该地址为「未标记新地址」,并触发风险预警。
第二步:资金分层(Layering)
攻击者深知大额 ETH 直接变现会立即触发交易所警报。因此,资金流转遵循了经典的洗钱三层模式:
阶段 A:初始分散(Placement)
在攻击后数小时内,40 万枚 ETH 被迅速分拆至数十个中间钱包,每笔金额不规则,目的是规避基于金额阈值的监控。
Bybit Cold Wallet
├── Attacker Wallet 1 (~50,000 ETH)
├── Attacker Wallet 2 (~38,000 ETH)
├── Attacker Wallet 3 (~27,500 ETH)
└── ... (数十个地址)
MerkleClaw 操作:开启「多跳展开」功能,自动追踪资金流出的前三跳,将所有中间地址聚合为同一实体集群(基于共同输入启发式)。图谱会清晰呈现分散网络结构。
阶段 B:混淆(Layering)
ETH 随后通过以下途径进一步混淆:
- DEX 兑换:部分 ETH 在 Uniswap 等去中心化交易所兑换为其他代币(主要是 DAI 稳定币),规避中心化交易所的冻结
- 跨链桥转移:资金经由跨链桥转移至比特币链,进一步增加追踪难度
- 混币服务:部分资金流入已知混币协议
MerkleClaw 操作:实体标签库自动识别 Uniswap 路由合约、跨链桥合约地址;混币器地址触发高风险标记(红色节点);跨链追踪模式在 BTC 图谱中继续追踪对应比特币地址。
第三步:混币穿透分析
Lazarus Group 此次攻击中,部分资金流入了去中心化混币协议。
混币后的资金并非「消失」,而是「分散」——在链上留下了可分析的模式:
| 特征 | 说明 |
|---|---|
| 固定面额输出 | 混币器通常以固定面额(如 0.1 BTC、1 BTC)输出,形成可识别模式 |
| 时间聚类 | 大量混币输出在短时间内出现,与输入时间存在统计相关性 |
| 地址行为特征 | 混币后地址通常只使用一次,但后续流向可继续追踪 |
MerkleClaw 操作:启用「混币穿透分析」模式,基于时间窗口和面额匹配算法,以概率方式关联混币前后的资金路径。图谱中虚线表示概率关联,置信度标注在连线上。
第四步:出金路径追踪(Integration)
已公开追踪到的出金路径包括:
- OTC 场外交易平台:通过与朝鲜有关联的 OTC 渠道将资产兑换为法币
- 东南亚小型交易所:部分资金流入 KYC 执行薄弱的小型交易所
- 持续滞留:相当一部分资金至今仍滞留在未动用的中间钱包中,等待时机
MerkleClaw 操作:实体标签库标注已知高风险 OTC 地址和小型交易所存款地址,触发报告中的「高风险出金节点」标记,自动生成冻结申请建议列表。
MerkleClaw 取证报告样本
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
MerkleClaw Forensic Report
Case ID: BYBIT-2025-0221
Generated: 2025-02-22 08:14:33 UTC
Analyst: [Redacted for Demo]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EXECUTIVE SUMMARY
Stolen Amount: ~$1.5B (400,000 ETH)
Attack Time: 2025-02-21 ~14:00 UTC
Attribution: Lazarus Group (HIGH confidence)
Chains: Ethereum → Bitcoin
FUND FLOW SUMMARY
Hop 1: Bybit Cold Wallet → Attacker Address #1
Dispersion: 47 intermediate addresses
(clustered into 3 entities)
Cross-chain: ETH → BTC via [Bridge]
Mixer nodes: 12 addresses [HIGH RISK]
KEY ADDRESSES
[0x...] Attacker Initial | CRITICAL | Active
[0x...] Mixer Input | HIGH | Dormant
[bc1...]BTC Cluster A | HIGH | Active
EVIDENCE METADATA
Software: MerkleClaw v1.0
Data source: Ethereum Mainnet, Bitcoin Mainnet
Timestamp: 2025-02-22 08:14:33 UTC
Report hash: sha256:[...]
RECOMMENDED ACTIONS
Freeze requests: [Exchange list]
INTERPOL referral: Recommended
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━链上数据从不说谎
Bybit 攻击展示了链上取证的核心价值:无论攻击者多么复杂,他们终究无法抹去区块链上的每一笔记录。
混币让追踪变难,但不是不可能。跨链让路径变长,但每一跳都留有痕迹。时间会让资金沉淀,而我们可以等。
🦞 链上的每一笔钱,都逃不过爪子。
延伸阅读
- Lazarus Group 历史攻击图谱分析 (即将发布)
- 混币器穿透技术详解 (即将发布)
- 执法机构如何使用链上证据起诉 (即将发布)