美国联邦调查局（FBI）日前正式将 Bybit 遭受创纪录的窃亿15 亿美元加密货币被窃事件与朝鲜黑客组织 Lazarus 联系起来 。与此同时，美元Bybit 的事件溯源实施首席执行官 Ben Zhou 宣布要对 Lazarus全面”开战“

FBI 表示 ，朝鲜应对此次加密货币交易所的黑客虚拟资产盗窃事件负责 。该事件被归咎于 FBI 追踪的利用链攻一个特定集群 TraderTraitor，该集群也被称为 Jade Sleet、窃亿Slow Pisces 和 UNC4899。美元

FBI 称 ：“TraderTraitor 的事件溯源实施行为迅速，已将部分被盗资产转换为比特币和其他虚拟资产 ，黑客并分散在多个区块链上的利用链攻数千个地址中 。预计这些资产将被进一步洗钱，高防服务器窃亿并最终转换为法定货币 。美元”

值得一提的事件溯源实施是
，TraderTraitor 集群此前曾被日本和美国当局指控参与 2024 年 5 月从加密货币公司 DMM Bitcoin 窃取价值 3.08 亿美元加密货币的黑客事件
。

TraderTraitor 以针对 Web3 行业的公司而闻名，通常诱骗受害者下载带有恶意软件的加密货币应用程序
，从而实施盗窃 。此外，该集群还被发现会策划以工作为主题的社会工程活动，导致恶意 npm 包的香港云服务器部署。

与此同时，Bybit 已启动赏金计划 
，以帮助追回被盗资金，同时指责 eXch 拒绝配合调查并协助冻结资产
。

Bybit 表示：“被盗资金已被转移到无法追踪或冻结的目的地，例如交易所、混币器或跨链桥 ，或转换为可以冻结的稳定币。我们需要所有相关方的合作，要么冻结资金，要么提供资金流动的源码下载更新，以便我们继续追踪 。”

总部位于迪拜的 Bybit 还分享了由 Sygnia 和 Verichains 进行的两项调查的结论，将此次攻击与 Lazarus 集团联系起来 。

Sygnia 表示：“对三个签名者主机的取证调查表明，攻击的根本原因是从 Safe{ Wallet} 基础设施中产生的恶意代码。”

Verichains 指出：“app.safe.global 的良性 JavaScript 文件似乎在 2025 年 2 月 19 日 UTC 时间 15:29:25 被恶意代码替换，免费模板专门针对 Bybit 的以太坊多签冷钱包 。” 并补充说：“攻击设计为在下一次 Bybit 交易期间激活，该交易发生在 2025 年 2 月 21 日 UTC 时间 14:13:35 。” Safe.Global 的 AWS S3 或 CloudFront 账户/API 密钥可能泄露或被攻破 ，从而为供应链攻击铺平了道路。

在一份单独声明中，多签钱包平台 Safe{ Wallet} 表示，此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实施的，影响了 Bybit 运营的账户。该公司进一步指出 ，模板下载它已实施额外的安全措施来减轻攻击载体 。

Safe{ Wallet} 表示 ：“此次攻击是通过入侵 Safe{ Wallet} 开发人员的机器来实现的 ，导致提交了伪装成恶意的交易 。Lazarus 是朝鲜国家支持的黑客组织，以对开发者凭证进行复杂的社会工程攻击而闻名 ，有时还结合零日漏洞利用。”

目前尚不清楚开发人员的云计算系统是如何被入侵的，尽管 Silent Push 的一项新分析发现 ，Lazarus 集团在 2025 年 2 月 20 日 22:21:57 注册了域名 bybit-assessment[.]com，该域名在加密货币被盗前几小时注册。

WHOIS 记录显示，该域名是使用电子邮件地址“trevorgreer9312@gmail[.]com”注册的 ，该地址此前已被确认为 Lazarus 集团用于另一个名为“Contagious Interview”活动的身份 。

该公司表示：“Bybit 劫案似乎是由朝鲜威胁行为组织 TraderTraitor 实施的 ，TraderTraitor 也被称为 Jade Sleet 和 Slow Pisces，而加密货币面试骗局是由朝鲜威胁行为组织 Contagious Interview 领导的，该组织也被称为 Famous Chollima。”

“受害者通常通过 LinkedIn 接触，他们在那里被社会工程学欺骗参与虚假的工作面试。这些面试是目标恶意软件部署
、凭证收集以及进一步危害财务和公司资产的切入点。”

据估计，自 2017 年以来，与朝鲜有关的行为者已经窃取了超过 60 亿美元的加密资产 。上周窃取的 5 亿美元超过了 2024 年全年从 47 起加密货币劫案中窃取的 34 亿美元。