时间线|Bybit超50万枚ETH被盗,损失15亿美元
2 月 22 日凌晨,链上侦探 Zachxbt 监控到 Bybit 疑似遭遇可疑资金流出。随后链上记录显示,Bybit 一多签地址将价值 15 亿美元的 ETH 转出,并使用 DEX 将 LSD 资产兑换为原生 ETH。或受 FUD 情绪影响,以太坊短时跌破 2700 美元;Bybit 原生平台代币 MNT 短时跌破 0.9 美元,24 小时跌幅 7.71%。
Bybit CEO Ben Zhou 很快做出回应称,黑客的确控制了特定 ETH 冷钱包,但其余冷钱包安全且提现正常。Ben Zhou 还强调,Bybit 具备偿付能力,可以承担这笔损失。 将持续关注并实时更新,以下为时间线整理:
2 月 22 日
Bybit CEO:多签转账时存在问题但没留意,当前挤兑高峰期已过
1 时 29 分,Bybit CEO Ben Zhou 于直播中分享称,「多签转账时其是最后一个签名的,使用的 ledger 设备,签名时存在问题但是没留意,签名时没显示送达地址。目前共有 4000 笔提币交易处在等待处理状态。」
Ben Zhou 在直播中再次强调,Bybit 财库可以覆盖 40 万枚以太坊的损失。「我们已经处理了 70% 的提款,挤兑高峰已经过去,大额提款正在接受常规安全审查,接下来几个小时我们仍在处理剩余的提款。所有客户的提款都将得到处理。」
Ben Zhou 还表示正考虑从合作伙伴处获得桥接贷款以弥补被盗资金。「不会购买以太坊,正在考虑从合作伙伴处获得桥接贷款以弥补被盗资金,80% 已经获得保障。」
Safe 安全团队正与 Bybit 合作,尚未发现 Safe 前端遭入侵证据
0 时 47 分,Safe 安全团队发文表示正在与 Bybit 密切合作,进行持续调查。目前尚未发现官方 Safe 前端遭到入侵的证据。但出于谨慎考虑,Safe{Wallet} 已暂时暂停某些功能。用户安全是我们的首要任务,将尽快提供更多更新。
Bybit 黑客将 49 万枚 ETH 分散转移至 49 个地址中,仍有 1.5 万枚 cmETH 等待解质押
0 时 45 分,据 EmberCN 监测,Bybit 的 ETH 多签冷钱包被盗 51.4 万枚 ETH,价值 14.29 亿美元。黑客已经将其中 49 万枚 ETH 分散转移到了 49 个地址中 (每个地址 1 万枚)。「另外还有 1.5 万枚 cmETH 正在被黑客解质押中 (有 8 小时等待期,不知道这个能否拦截下来了)。」
慢雾披露 Bybit 黑客作案细节
0 时 36 分,慢雾发文披露 Bybit 黑客作案细节:
· 恶意的实现合约在 UTC 2025-02-19 7:15:23 被部署
0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516
· 攻击者在 UTC 2025-02-21 14:13:35 利用三个 owner 签署了将 Safe 实现合约替换为恶意合约的交易
0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
· 恶意的升级逻辑通过 DELEGATECALL 被嵌入 STORAGE[0x0]
0x96221423681A6d52E184D440a8eFCEbB105C7242
· 攻击者利用恶意合约中的后门函数 sweepETH 与 sweepERC20 偷空了热钱包。
何一、CZ、Justin Sun 先后声援 Bybit,表示愿随时提供帮助
0 时 29 分,Binance 联合创始人何一于社交平台回应 Bybit 被盗事件称,「We are here when you need(我们随时待命,随时提供帮助)」。
0 时 34 分,Binance 创始人 CZ 于社交平台回应 Bybit 被盗事件称,「这并不是一个容易处理的情况。建议暂时暂停所有提现,作为标准的安全预防措施。如有需要,我愿意提供任何帮助。祝好运!」
0 时 39 分,火币 HTX 全球顾问、波场 TRON 创始人 Justin Sun 于社交平台回应 Bybit 被盗事件称,「我们一直在密切关注 Bybit 事件,并将尽最大努力协助我们的合作伙伴追踪相关资金,提供我们能力范围内的所有支持。」
Defillama 创始人:Bybit 黑客事件后用户提现净流出金额已达 7 亿美元
0 时 23 分,Defillama 创始人 0xngmi 于社交平台发文分享称,「到目前为止,在 Bybit 发生黑客事件后,用户提现导致的净流出金额已达到 7 亿美元。」
Bybit 被盗原生 ETH 及各类衍生 ETH 总计 514,723 枚
据 OnchainLens 监测,Bybit 被盗资金流出具体情况如下:
· 401,347 枚 ETH,价值 11.2 亿美元;
· 90,376 枚 stETH,价值 2.5316 亿美元;
· 15,000 枚 cmETH,价值 4413 万美元;
· 8,000 枚 mETH,价值 2300 万美元。
被盗的原生 ETH 及各类衍生 ETH 总计 514,723 枚。
Bybit CEO:很快将开启直播以回答所有问题
0 时 20 分,Bybit CEO Ben Zhou 于 X 平台发文更新称,「我很快就会开始直播,回答所有问题!!请继续关注。」
Ethena:Bybit 对冲头寸相关 PNL 仅不足 3000 万美元,USDe 现货资产托管于 CEX 之外
0 时 16 分,Ethena Labs 发文称,「我们已关注到 Bybit 目前正在发展的情况,并将持续监控最新动态。提醒大家:所有支持 USDe 的现货资产均托管在交易所以外的托管解决方案中,包括 Bybit 通过 Copper Clearloop 进行托管,正是为了这种情况做准备。
没有任何一美元的现货支持资金存放在任何交易所,包括 Bybit。目前,与 Bybit 对冲头寸相关的未实现总收益(PNL)不到 3000 万美元,远低于储备基金的一半。USDe 目前仍然是完全超额抵押的。我们将在收到进一步信息时提供更新。」
ZachXBT:Bybit 黑客将 1 万枚 ETH 分散至 39 个新地址,呼吁各方及时拉黑
ZachXBT 发文称 Bybit 黑客已将 10,000 ETH 分散至 39 个新地址。「如果您是交易平台或服务提供商,请在所有 EVM 链上拉黑这些地址。」
慢雾余弦:Bybit 黑客攻击手法与朝鲜黑客相似
慢雾创始人余弦发文表示,「虽然现在没有明确证据,但从搞 Safe 多签的手法及目前洗币手法,像朝鲜黑客。」
2 月 21 日
Bybit 黑客已开始向多个地址分散资金
23 时 57 分,据 Arkham 监测,Bybit 黑客已开始向多个地址分散资金。
Bybit CEO:平台提现正常,其余冷、热钱包均没有受到影响;Bybit 具备偿付能力,可以承担这笔损失
23 时 53 分,Bybit CEO Ben Zhou 发文更新称,Bybit 的热钱包、暖钱包和所有其他冷钱包都没有受到影响。唯一被黑客攻击的是 ETH 冷钱包。所有提现均正常。同时强调,「Bybit 依然具备偿付能力,即使此次黑客攻击导致的损失无法追回,所有客户资产仍然保持 1:1 支持,我们可以承担这笔损失。」
Bybit 平台总资产为 157.27 亿美元,以太坊资产达 51.8 亿美元
截至 2 月 21 日 23 时 54 分,据 Defillama 数据,Bybit 平台总资产为 157.27 亿美元,其中包括:
· 62.63 亿美元的比特币;
· 51.8 亿美元的以太坊;
· 13.5 亿美元的 SOL;
· 11.43 亿美元的 TRON。
Bybit CEO:黑客控制了特定 ETH 冷钱包,其余冷钱包安全且提现正常
23 时 44 分,Bybit 联合创始人兼 CEO Ben Zhou 发文称,「Bybit 的 ETH 多签冷钱包大约 1 小时前进行了转账到我们的热钱包。看起来这笔交易被伪装了,所有签名者都看到伪装的界面,显示了正确的地址,并且 URL 来自 Safe。
但是签名信息却是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们签名的特定 ETH 冷钱包,并将钱包中的所有 ETH 转移到这个未确认的地址。
请放心,所有其他冷钱包都是安全的。所有提现都是正常的。我会在更多情况出现时继续更新。如果有团队可以帮助我们追踪被盗的资金,将不胜感激。」
Bybit 一多签地址将价值 15 亿美元的 ETH 转出,并使用 DEX 将 LSD 资产兑换为原生 ETH
几分钟后,加密 KOL Finish 发文称,根据链上数据,Bybit 的一个多重签名地址将价值 15 亿美元的 ETH 转移到新地址。资金到达新地址 0x47666fab8bd0ac7003bce3f5c3585383f09486e2,然后转移到 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e,0xa4 目前正在出售 stETH 和 mETH 以换取 ETH。
「目前该地址正在使用 4 种不同的 DEX,如果他们只是将 LSD 换成原生 ETH,交易执行效果会很糟糕(磨损较大)。这种规模通常会通过场外交易进行,因此这很不寻常。」
Zachxbt 监控 Bybit 疑似遭遇可疑资金流出
2 月 21 日晚 23 时 27 分左右,Zachxbt 监控频道称,目前正在监控从 Bybit 流出的可疑资金,总额超过 14.6 亿美元。
: