牛市黑天鹅：Bybit被盗14.6亿美元资产，ETH还有底吗？

原创｜（@OdailyChina）

作者｜Wenser（@wenser 2010 ）

北京时间 2 月 21 日晚上 11 点 20 分，ZachXBT 发文表示：“监测到 Bybit 有可疑资金流出，规模高达 14.6 亿美元”。根据 Beosin Trace 监测，Bybit 共计被盗 ETH 及衍生品达 514, 723 枚。随后，Bybit 联创 Ben Zhou 发文证实了 Bybit 官方冷钱包被盗一事，并着手进行安全处理。

将于本文对此事进行简要跟踪，供读者参考。

涉及资金主要为 ETH，涉案规模达 14.6 亿美元

11 点 20 分，ZachXBT 发布警示消息后，在稍作验证后，第一时间进行了跟进。

当时可以确定的消息是，黑客相关地址为 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2；在盗取资金后，其在 DEX 上将 mETH & stETH 快速兑换为了 ETH。

黑客第一时间进行 Swap 兑换

就在外界还在猜测，“规模如此之大的一笔资金的流动，是否为 Bybit 官方整理钱包或有其他目的”之时，ZachXBT 很快给出了新的提示：“我的消息来源确认 Bybit 资金流出是一起安全事件（My sources confirm it's a security incident）。”

此外，ZachXBT 向各大交易所、服务商等有关人员提醒道：“建议拉黑以下 EVM 地址——

• 0x47666fab8bd0ac7003bce3f5c3585383f09486e2；

• 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e；

• 0x36ed3c0213565530c35115d93a80f9c04d94e4cb；

• 0x1542368a03ad1f03d96D51B414f4738961Cf4443；

• 0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。”

此举意在第一时间切断黑客清洗资金的 CEX 渠道，避免 Bybit 被盗资金的进一步流失。

根据 Beosin Trace 监测统计，被盗资产分别包括：

• 401, 347 枚 ETH，价值 11.2 亿美元；

• 90, 376 枚 stETH，价值 2.5316 亿美元；

• 15, 000 枚 cmETH，价值 4, 413 万美元；

• 8, 000 枚 mETH，价值 2300 万美元。

目前资金分成 1 万 ETH 一组沉淀于 40 多个以太坊地址，所有黑客地址都已加入 Beosin KYT 标签库中，Beosin KYT 将对所有涉及黑客地址的资金转账进行告警。Beosin 安全团队分析这次事件的攻击手法和 WazirX 比较类似，都是通过前端 UI 欺骗，让多签钱包签署了恶意的内容，篡改了多签钱包的逻辑实现合约，导致多签钱包的资金被转出。

Bybit 官方回应：多签钱包交易遭攻击篡改，其余冷钱包资产安全，交易所提币正常

Bybit 联合创始人 Ben Zhou 于 X 平台对外发声：“Bybit ETH 多签冷钱包大约 1 小时前向 Bybit 热钱包进行了一笔转账。这笔特定交易可能遭到了篡改，中间所有多签钱包签署者都看到了篡改的 UI 界面显示了正确的转账地址，且网站链接来自 @safe 。然而，签名信息是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们多签签署的特定 ETH 冷钱包，并将冷钱包中的所有 ETH 转账到了某未知地址。请放心，Bybit 其他冷钱包都是安全的，CEX 内部所有提款均正常运行。”

此外，Ben Zhou 也第一时间向外界发出求助信息：“我们会随时向大家公布该事件的最新进展。如果任何团队能帮助我们追踪被盗资金，将不胜感激。”

链上资金动向：黑客正在快速砸盘 ETH，已将 10000 枚 ETH 转入 39 个地址

11 点 35 分，Arkham 监测到，Bybit 流出的 14 亿美元的 ETH 和 stETH 已经转移到新的地址进行出售。截止当时，黑客已出售价值 2 亿美元的 stETH。链上追踪地址为 https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2。

零点整，ZachXBT 再次更新最新链上资金动向，其中，10000 枚 ETH 被黑客分散转入 39 个地址当中，此外，该名黑客还将 10000 枚 ETH 转入另外 9 个地址。

12 点 18 分，据 Arkham 监测统计，价值约 1 亿美元的 ETH （约 40 万枚）现已从黑客原始地址转移至新钱包。

黑客原始地址仅剩余 366.9 万美元资产，其中 ETH 持仓量骤减至 1346 枚。

链上信息

据安全公司慢雾创始人余弦小范围调查后发文表示，综合搞 Safe 多签的手法及目前洗币手法，初步怀疑此次事件或为朝鲜黑客所为，具体信息仍然有待进一步的追踪。

随后，慢雾随后发布 Bybit 攻击者操作细节：

• 一个恶意的实施合约于 UTC 2025-02-19 7: 15: 23 被部署： https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516

• UTC 2025-02-21 14: 13: 35 ，攻击者利用三位所有者签署交易，用恶意合约替换 Safe 的实施合约： https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

• 攻击者随后利用恶意合约中的后门函数“sweepETH”和“sweepERC 20 ”窃取热钱包。

Bybit 被盗事件余波：目前处于可控范围内

高达 14.6 亿美元的 ETH 相关资产，创 2025 年乃至 2023 年以来最大的安全事件被盗金额，由此也进一步加剧了市场对于 ETH 价格表现以及 Bybit 资产安全的担忧。针对前者，目前来看短期确实存在一定风险。

但中长期来看，市场担忧应当无虞。有观点认为，这是因为 ETH 是除 BTC 以外最去中心化的资产，黑客大概率会持有多数 ETH，而非直接低价砸盘。

针对后者，Bybit 官方也第一时间做出了回应。22 日零点 7 分，Bybit 联创 Ben Zhou 发文回应道：“即使这次黑客攻击造成的损失未能追回，Bybit 的资产仍然是 1: 1 保证的，我们可以承担损失。”尽显老牌交易所稳扎稳打的底气与自信。

关于这一点，除了交易所常见的默克尔树储备金链上证明以外，根据 Bybit 联创兼 CEO Ben Zhou 此前在采访中提到的信息也可作为佐证。其中，他提到“Bybit 公司资产中，约 80% 是稳定币，剩余部分以法币形式存在。这种配置的核心目标是确保交易所的财务稳健，而不是追求资产增值。”

事件发生后，CZ 回复 Ben Zhou 推文表示：“这不是一个容易处理的情况。建议暂时停止所有提款，作为标准的安全预防措施。如有需要，将提供任何帮助。”币安联创何一回应 Bybit 首席执行官 Ben Zhou 称，“若有需要将提供支持”。

TRON 创始人孙宇晨发文表示，“正在密切关注 Bybit 安全事件，将尽全力协助合作伙伴追踪相关资金，并提供一切力所能及的支持。”

此外，链上分析师 @ai_ 9684 xtpa 分析认为：“Ethena 有 21% 的 USDe 在 Bybit 中执行 Delta 中性对冲策略，其中 ETH 部分价值 2.27 亿美元，不确定是否会受影响。Bybit 确认被盗后，ENA 已下跌 11.5% 并收回今日涨幅。”

Ethena Labs 随后发文称，已注意到 Bybit 事件，所有支持 USDe 的现货资产均通过场外托管解决方案持有，任何交易所（包括 Bybit）中均没有存放现货价值储备资金。目前 Bybit 对冲头寸的未实现损益总额不足 3000 万美元，不到储备基金的一半，USDe 有足够的抵押余额，会在收到更新后及时提供更多信息。

最新消息，Bybit CEO Ben Zhou 于 X 平台发文表示，即将进行直播回答所有问题。

也将持续追踪 Bybit 资产被盗事件的最新消息，期待此事有一个圆满的处理结局。