Bybit 黑客将超过一半的被盗 ETH 转移到比特币上，主要使用 ThorChain

报道来自 The Block：根据以太坊安全专家 Taylore Moynahan 和 Arkham Research 的数据，Bybit 的黑客已将至少 209,384 ETH（约 4.8 亿美元）转移到比特币上，其中大部分是通过 ThorChain 发送的。

上周五，拉撒路集团盗取了超过 400,000 ETH，以及约 113,000 ETH 相关代币。

一些 ThorChain 开发者和验证者试图阻止北朝鲜的洗钱行为，但在技术和社区方面面临挑战。

MetaMask 安全负责人 Taylor Monahan 向 The Block 表示，Bybit 的黑客已将至少 209,384 ETH（约 4.8 亿美元）转移到比特币中。这代表了从交易所盗取的约 400,000 ETH 的一半，未计算其他被抽走的代币。

根据 Arkham Intelligence 的数据，至少有 2.4 亿美元的资金是通过 THORchain 洗钱的，该公司正在追踪与黑客团体相关的数字钱包。Arkham 在 X 上发布的帖子中表示，盗取的加密货币“主要被交换为原生比特币”。

上周五，Arkham Intelligence 表示，北朝鲜的拉撒路集团已黑入 Bybit，盗取超过 15 亿美元，引用了在线侦探 ZachXBT 提供的信息。

美国联邦调查局（FBI）随后证实，这次黑客攻击是由北朝鲜的恶意“TraderTraitor”行动者实施的，其中包括拉撒路集团。

FBI 在公告中表示：“TraderTraitor 行动者迅速进行，已将一些被盗资产转换为比特币和其他虚拟资产，分散到多个区块链上的成千上万的地址。” “预计这些资产将进一步被洗钱，并最终转换为法定货币。”

根据以太坊安全专家的说法，此次 15 亿美元的黑客攻击比以往更难追踪。拉撒路集团以分散资金和使用多种协议转移资金而闻名，但此次攻击涉及数千笔独立交易。

“这就是 Bybit 黑客追踪的情况，”化名研究员 SomaXBT 在 X 上发帖，抱怨分散资金的复杂性。“[这是] 仅仅追踪 2 次跳跃（每次 10 ETH）。我的 Mac Air 确实在为了加载这些交易而发烫。”

总的来说，黑客在攻击中抽走了超过 400,000 ETH（当时约 11 亿美元）、90,000 stETH、15,000 cmETH 和 8,000 cETH。然而，目前尚不清楚黑客持有多少 ETH，因为一些资产（包括 4300 万美元的 mETH）已被冻结。

ThorChain 交易
MetaMask 的 Monahan 估计，自攻击发生以来，黑客已经通过 3,934 次不同的跨链交易将至少 161,490 ETH（按当前价格计算约 3.7 亿美元）转移到 ThorChain。这代表了她认为已经转移到比特币的 209,384 ETH 总量的绝大部分。

“这相当于每小时 3,229,800 美元，”她说。

拉撒路似乎主要使用两个非托管桥进行攻击，即前述的 ThorChain 和 eXch。然而，以宽松的 KYC 控制而闻名的 eXch 似乎已禁用 ETH 和 ERC-20 代币的交换，限制了黑客将资金转移到比特币的能力。

周三，Bybit 首席执行官宣布，交易所将向帮助冻结与攻击相关资金的交易所、桥和混合器提供 5% 的赏金。这是 Bybit 最初向任何能够归还资金的人提供的 10% 赏金的延续。目前尚不清楚 eXch 是否收到了赏金。

在确认通过跨链交换平台 ThorChain 转移的 161,490 ETH 中，黑客使用了多种区块链工具进行跳跃，包括 Asgardex、DeFiSwap、FortunaSwap、GemWallet、LiFi、ShapeShift、TrustWallet 等，根据区块链数据。

周三，ThorChain 迎来了单日交易量最大的日子，超过 7.37 亿美元的代币交换。

“这一切都是来自拉撒路黑客，”ThorChain 用户 @diplo 在 X 上表示。“但谁在乎呢？这对 TC 来说是个胜利。唯一担心的是，一旦这些交换停止，价格会发生什么。比特币目前正在下跌，如果没有这一点，我不认为我们现在会超过 1 美元。”

ThorChain 的本地代币 RUNE 自黑客事件以来交易价格曾达到超过 1.60 美元的峰值，虽然是近期的局部高点，但距离 2024 年的 10 美元高点和历史最高点 19.30 美元还有一段距离，依据 The Block 的数据页面。

“ThorChain 不采取任何措施阻止盗取的 ETH 通过其平台流动，后果不会很好，”@AirdropGlideapp 在 X 上表示。“有趣的是，一个人可以在 2 分钟内关闭 ThorFi，但当涉及到阻止北朝鲜通过 ThorChain 洗钱数十亿美元的以太坊时，突然就变得无能为力！”

停止资金流动？
根据 X 上的几篇帖子，关于与拉撒路相关的资金流动存在内部分歧。周四早些时候，三名验证者投票拒绝与 Bybit 黑客相关的交易，这显然暂时停止了资金流动。然而，由于 ThorChain 背后的高度去中心化共识机制保持了验证者的选择性，该“投票在几分钟内被恢复”。

值得注意的是，ThorChain 的化名核心开发者“Pluto”在宣布辞去项目职务之前曾主张解决这一链上洗钱问题。投票停止 ThorChain ETH 交易的三名验证者之一 TCB 也表示，他一直在努力寻找阻止北朝鲜洗钱的办法。

“当你大部分的资金流动都是来自北朝鲜的被盗资金，且这是人类历史上最大的盗窃案时，这将成为国家安全问题，这不再是一个游戏，”TCB 在 X 上表示，并补充说，ThorChain 不够“去中心化”，难以承受监管攻击。“TC 社区有着强烈的信念，基于他们从与前线执行人员的消息中学习到的东西，这与现实脱节。”

在抽走 Bybit 冷钱包中的资金后，拉撒路将被盗资金转移到三个独立的“分配”地址——0xB4a、0x23Ob 和 0x83E，然后又将其拆分为数十个新创建的地址。该团体还通过去中心化交易所 Uniswap、Paraswap 和 KyberSwap 交换了以太坊衍生品，如 stETH 和 cETH 为 ETH。