The Largest Crypto Heist in History: A Documented On-Chain Investigation

2025年2月21日，加密貨幣交易所Bybit在執行一項例行操作——將資產從冷錢包轉移至熱錢包——時，偵測到未經授權的異常活動。冷錢包被設計為離線保管的「金庫」，啟用了多重簽名（Multi-sig）安全架構，要求多名員工以各自的密鑰獨立授權，才能執行任何交易。這是機構級加密資產保管的標準防護設計，理論上即便單一員工帳號遭竊，攻擊者仍無法完成轉帳。

然而攻擊者並未正面破解密碼學，而是選擇攻擊人機介面這條更脆弱的路徑。他們事先入侵了一台連接Bybit多簽平台的開發者機器，並在其上注入惡意程式碼，使簽署介面呈現偽造的「合法目的地址」，同時在底層將資金路由至攻擊者控制的錢包。Bybit員工看到的是一筆正常的內部轉帳，實際授權的卻是逾40萬枚ETH、總值約15億美元的巨額流出。整個過程，區塊鏈以帶時間戳的不可竄改紀錄，記下了每一筆交易。

盜竊發生後數小時內，獨立鏈上鑑識人員即開始動用區塊鏈追蹤工具展開調查。區塊鏈鑑識的核心方法包含三個層次：地址聚類（Address Clustering）透過資金匯聚行為識別同一實體控制的多個錢包；共同消費分析（Common Spend Analysis）透過重複出現的交易模式串聯各地址；歸因資料庫（Attribution Databases）則由多家區塊鏈情報公司長期維護，標記已知的交易所、暗網市場、勒索軟體組織與受制裁實體。一旦被盜資金流經任何已標記地址，調查人員可立即獲得線索。

歸因結論在48小時內成形：Lazarus Group，美國當局先前已將其列為「Trader Trader」及APT38的北韓國家支持駭客組織。這個結論並非臆測，而是基於Lazarus Group多年攻擊行動中留下的可重複辨識鏈上指紋——特定的錢包聚類行為、交易跳點之間固定的時間間隔、慣用的混幣服務選擇。FBI隨後發布正式公共服務公告，確認此案屬於國家級行為者發動的攻擊，調查所依賴的鏈上數據與情報報告，均來自可公開查閱的初級資料來源，且已達法庭可採信的情資標準。