持续追踪｜牛市黑天鹅：Bybit被盗14.6亿美元资产，51.4万ETH直抛市场？

原创｜Odaily星球日报（ @OdailyChina ）

作者｜Wenser（ @wenser 2010 ）

北京时间 2 月 21 日晚上 11 点 20 分，ZachXBT 发文表示 ：“监测到 Bybit 有可疑资金流出，规模高达 14.6 亿美元”。根据 Beosin Trace 监测， Bybit 共计被盗 ETH 及衍生品达 514, 723 枚。 随后，Bybit 联创 Ben Zhou 发文证实 了 Bybit 官方冷钱包被盗一事，并着手进行安全处理。

Odaily星球日报将于本文对此事进行简要跟踪，供读者参考。

涉及资金主要为 ETH，涉案规模达 14.6 亿美元

11 点 20 分，ZachXBT 发布警示消息后，Odaily星球日报在稍作验证后，第一时间进行了 跟进 。

当时可以确定的消息是，黑客相关地址为 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2；在盗取资金后，其在 DEX 上将 mETH & stETH 快速兑换为了 ETH。

黑客第一时间进行 Swap 兑换

就在外界还在猜测，“规模如此之大的一笔资金的流动，是否为 Bybit 官方整理钱包或有其他目的”之时，ZachXBT 很快给出了新的提示：“ 我的消息来源确认 Bybit 资金流出是一起安全事件（My sources confirm it's a security incident）。”

此外，ZachXBT 向各大交易所、服务商等有关人员提醒道：“ 建议拉黑以下 EVM 地址——

• 0x47666fab8bd0ac7003bce3f5c3585383f09486e2；

• 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e；

• 0x36ed3c0213565530c35115d93a80f9c04d94e4cb；

• 0x1542368a03ad1f03d96D51B414f4738961Cf4443；

• 0xdD90071D52F20e85c89802e5Dc1eC0A7B6475f92。”

此举意在第一时间切断黑客清洗资金的 CEX 渠道，避免 Bybit 被盗资金的进一步流失。

根据 Beosin Trace 监测统计，共计被盗 ETH 及衍生品 514, 723 枚， 分别包括：

• 401, 347 枚 ETH，价值 11.2 亿美元；

• 90, 376 枚 stETH，价值 2.5316 亿美元；

• 15, 000 枚 cmETH，价值 4, 413 万美元；

• 8, 000 枚 mETH，价值 2300 万美元。

目前资金分成 1 万 ETH 一组沉淀于 40 多个以太坊地址，所有黑客地址都已加入 Beosin KYT 标签库中，Beosin KYT 将对所有涉及黑客地址的资金转账进行告警。Beosin 安全团队分析这次事件的攻击手法和 WazirX 比较类似，都是通过前端 UI 欺骗，让多签钱包签署了恶意的内容，篡改了多签钱包的逻辑实现合约，导致多签钱包的资金被转出。

Bybit 官方回应：多签钱包交易遭攻击篡改，其余冷钱包资产安全，交易所提币正常

Bybit 联合创始人 Ben Zhou 于 X 平台 对外发声 ：“Bybit ETH 多签冷钱包大约 1 小时前向 Bybit 热钱包进行了一笔转账。这笔特定交易可能遭到了篡改，中间所有多签钱包签署者都看到了篡改的 UI 界面显示了正确的转账地址，且网站链接来自 @safe 。然而，签名信息是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们多签签署的特定 ETH 冷钱包，并将冷钱包中的所有 ETH 转账到了某未知地址。 请放心，Bybit 其他冷钱包都是安全的，CEX 内部所有提款均正常运行。”

此外，Ben Zhou 也第一时间向外界发出求助信息： “我们会随时向大家公布该事件的最新进展。如果任何团队能帮助我们追踪被盗资金，将不胜感激。”

链上资金动向：黑客快速出售 2 亿美元 ETH，已将 40 万枚 ETH 转入 48 个地址

11 点 35 分，Arkham 监测到，Bybit 流出的 14 亿美元的 ETH 和 stETH 已经转移到新的地址进行出售。截止当时，黑客已出售价值 2 亿美元的 stETH。 链上追踪地址为 https://intel.arkm.com/explorer/address/0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 。

零点整，ZachXBT 再次更新最新链上资金动向，其中， 10000 枚 ETH 被黑客分散转入 39 个地址当中， 此外，该名黑客还将 10000 枚 ETH 转入另外 9 个地址。

12 点 18 分，据 Arkham 监测 统计，价值约 1 亿美元的 ETH （约 40 万枚）现已从黑客原始地址转移至新钱包。

链上资金动向

截止撰稿前， 黑客原始地址 仅剩余 366.9 万美元资产，其中 ETH 持仓量骤减至 1346 枚。

链上信息

据安全公司慢雾创始人余弦小范围调查后 发文表示 ，综合搞 Safe 多签的手法及目前洗币手法，初步怀疑此次事件或为朝鲜黑客所为，具体信息仍然有待进一步的追踪。

慢雾随后也发布了 Bybit 黑客操作的技术细节：

• 一个恶意的实施合约于 UTC 2025-02-19 7: 15: 23 被部署： https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516

• UTC 2025-02-21 14: 13: 35 ，攻击者利用三位所有者签署交易，用恶意合约替换 Safe 的实施合约： https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

• 攻击者随后利用恶意合约中的后门函数“sweepETH”和“sweepERC 20 ”窃取热钱包。

Bybit 被盗事件余波：目前处于可控范围内

高达 14.6 亿美元的 ETH 相关资产，创 2025 年乃至 2023 年以来最大的安全事件被盗金额，由此也进一步加剧了市场对于 ETH 价格表现以及 Bybit 资产安全的担忧。

针对前者，目前来看短期确实存在一定风险。 但中长期来看，市场担忧应当无虞。 有观点认为，这是因为 ETH 是除 BTC 以外最去中心化的资产，黑客大概率会持有多数 ETH，而非直接低价砸盘。

针对后者，Bybit 官方也第一时间做出了回应。 22 日零 点 7 分，Bybit 联创 Ben Zhou 发文回应道 ： “即使这次黑客攻击造成的损失未能追回，Bybit 的资产仍然是 1: 1 保证的，我们可以承担损失。”尽显老牌交易所稳扎稳打的底气与自信。

关于这一点，除了交易所常见的默克尔树储备金链上证明以外，根据 Bybit 联创兼 CEO Ben Zhou 此前在采访中提到 的信息也可作为佐证。其中，他提到“ Bybit 公司资产中，约 80% 是稳定币，剩余部分以法币形式存在。这种配置的核心目标是确保交易所的财务稳健，而不是追求资产增值。 ”

多方表态：CZ、何一、孙宇晨发声， 援助与支持同在

事件发生后，CZ 回复 Ben Zhou 推文表示：“这不是一个容易处理的情况。建议暂时停止所有提款，作为标准的安全预防措施。如有需要，将提供任何帮助。”币安联创何一回应 Bybit 首席执行官 Ben Zhou 称，“若有需要将提供支持”。

TRON 创始人 孙宇晨 发文表示，“正在密切关注 Bybit 安全事件，将尽全力协助合作伙伴追踪相关资金，并提供一切力所能及的支持。”

此外，链上分析师 @ai_9684xtpa 分析认为：“ Ethena 有 21% 的 USDe 在 Bybit 中执行 Delta 中性对冲策略，其中 ETH 部分价值 2.27 亿美元，不确定是否会受影响。 Bybit 确认被盗后，ENA 已下跌 11.5% 并收回今日涨幅。”

Ethena Labs 随后发文称，已注意到 Bybit 事件，所有支持 USDe 的现货资产均通过场外托管解决方案持有，任何交易所（包括 Bybit）中均没有存放现货价值储备资金。目前 Bybit 对冲头寸的未实现损益总额不足 3000 万美元，不到储备基金的一半，USDe 有足够的抵押余额，会在收到更新后及时提供更多信息。

最新消息，Bybit CEO Ben Zhou 于 X 平台 发文表示 ，即将进行直播回答所有问题。

Odaily星球日报也将持续追踪 Bybit 资产被盗事件的最新消息，期待此事有一个圆满的处理结局。