在对价值 15 亿美元的 Bybit 黑客攻击事件进行事后调查分析时,两家区块链研究机构 —— Nansen 和 Chainalysis—— 揭露了 Lazarus 组织的洗钱策略,其中包括将非流动性资产兑换为流动性资产、制造复杂的资金流向轨迹,以及让某些钱包处于闲置状态,以便让审查热度降下来。

Nansen 称,Lazarus 组织的典型策略首先是将非流动性资产兑换为更具可替代性、因而也更易于转移的资产。在 Bybit 遭到黑客攻击后,作案者将至少价值 2 亿美元的质押代币转换为了以太坊 ETH ,而以太坊在链上转移起来要容易得多。

在完成从非流动性资产到流动性资产的转换后,洗钱过程就开始了。为了混淆视听,黑客利用一系列中间钱包构建出复杂的资金流向轨迹,旨在迷惑追踪者。据 Chainalysis 称,这些资金是通过去中心化交易所、跨链桥,甚至是无需进行 “了解你的客户”(KYC)验证的即时兑换服务进行洗钱的

相关: FBI 要求节点运营商、交易所封锁与 Bybit 黑客相关的交易

Lazarus 组织洗钱手段的复杂性。来源:Chainalysis

大部分以太坊最终被兑换成了比特币 BTC) 以及诸如戴币 DAI 之类的稳定币。在某些情况下,区块链分析师能够实时追踪这些资金动向。这使得一些运行去中心化协议的机构,比如 Chainflip,得以阻止作案者对被盗资金进行洗钱的企图

在整个洗钱过程中,黑客不断地将被盗资金拆分成更小的资金池,并发送到越来越多的钱包中。在第一轮 “转移” 中,资金从一个钱包被分散到了 42 个钱包。第二轮 “转移” 时,资金又从 42 个钱包分散到了数千个钱包。

相关: 14 亿美元黑客攻击后,Bybit 首席执行官称已 “彻底弥合 ETH 资金缺口”

到目前为止,从 Bybit 被盗事件中洗出的资金只是 15 亿美元被盗资金中的一部分。Lazarus 组织还有另一种策略来避开一起备受瞩目的盗窃案所引发的高度关注:按兵不动,耐心等待。一些存有被盗资金的钱包(目前这些钱包中的资金总额达到了 9 亿美元)一直处于闲置状态,因为该组织在等待外界的审查热度消退。

这起近 15 亿美元的被盗事件所涉及的金额,超过了该组织在 2024 年全年的盗窃所得 —— 在 47 起攻击事件中,其 2024 年全年的盗窃所得为 13 亿美元。这起攻击事件是有史以来规模最大的加密货币盗窃案,它让加密货币社区团结起来支持 Bybit,并共同对抗黑客。随着 Lazarus 组织面临越来越多的审查,它也在不断调整策略。正如 Cointelegraph 所报道的那样,该组织的网络战策略仍然是全球最赚钱且最复杂精妙的策略之一

相关: 加密货币交易平台 eXch 否认清洗了 Bybit 被盗资金

Cointelegraph 中文官方渠道

Telegram 社群: https://t.me/cointelegraphzh

Telegram Channel: https://t.me/cointelegraphzhnews

X(Twitter): https://x.com/zhcointelegraph