2025 年 6 月 2 日,区块链研究员 ZachXBT 在 Telegram 上发布的一则简短贴文引发加密行业震动:台湾加密货币交易所 BitoPro 多个链上的热钱包出现可疑资金流出,总金额高达 1150 万美元。
此时距离实际攻击发生已近 3 周,该交易所仅以“系统维护”为由暂停服务,对遭黑客攻击一事只字未提。
事件时间线,从隐秘攻击到公开披露
攻击发生在 2025 年 5 月 8 日至 9 日之间。当时黑客利用交易所进行钱包系统升级与资产迁移的窗口期,针对其旧热钱包发动了突袭。
多条公链均受波及:Tron、以太坊、Solana 和 Polygon 上的热钱包资产被陆续转出。黑客得手后迅速行动,资金通过去中心化交易所(DEX)以市价抛售变现,并转入 Tornado Cash 混币器,或通过 Thorchain 跨链至比特币网络存入 Wasabi 钱包,试图切断资金追踪路径。
尽管用户报告提现受阻,BitoPro 官方直到 6 月 2 日 ZachXBT 公开爆料后,才在 Telegram 发布声明证实攻击事件,声称“用户资产无损失、平台储备充足”。
隐匿三周的处理方式引发社群强烈质疑其透明度与危机管理能力。
攻击手法剖析,一次经典的社会工程学入侵
6 月 19 日,BitoPro 公布第三方安全公司调查报告,确认攻击者正是臭名昭著的朝鲜黑客组织 Lazarus Group。
攻击路径清晰展现其高度专业化的作案模式:
- 社工钓鱼切入:黑客通过伪装通信针对 BitoPro 员工进行钓鱼,诱使其点击恶意链接或文件。
- 恶意软件渗透:成功植入的恶意软件避开了交易所的防病毒系统、端点防护和云端安全检测。
- 潜伏观察:黑客长期潜伏于受害员工电脑中,观察操作流程,尤其锁定掌握亚马逊 AWS 资源控制权的云端业务人员。
- 令牌劫持与绕过 MFA:窃取 AWS 会话令牌(Session Token),直接绕过多重身份验证(MFA) 机制。
- 操控热钱包主机:连接攻击者 C2 服务器,将恶意指令注入负责热钱包交易的主机,最终在 5 月 9 日凌晨 1 点模拟合法交易实施转账。
此手法与 Lazarus 过往攻击全球银行 SWIFT 系统及多家交易所的模式高度一致,凸显其攻击模板的成熟性。
幕后黑手,Lazarus Group 的阴影
Lazarus Group 并非初犯。该组织被普遍认为是朝鲜政权支持的网络犯罪集团,长期以窃取加密货币资助其武器计划为目标。
其犯罪记录令人触目惊心:
- 2016 年利用 SWIFT 系统漏洞试图窃取孟加拉央行 10 亿美元(最终成功转走 8100 万美元)
- 2025 年 2 月攻击交易所 ByBit,创纪录盗取 15 亿美元加密货币
- 持续针对全球加密货币交易所进行供应链攻击、漏洞利用及复杂社工欺诈
安全专家指出,该组织擅长结合技术漏洞与人性弱点,BitoPro 事件再次印证了这一点。
交易所应对,亡羊补牢的举措
事件曝光后,BitoPro 采取了一系列危机应对措施:
- 立即关闭热钱包系统,切断攻击路径
- 更换所有相关加密密钥
- 隔离受感染系统并进行环境重建
- 委托第三方区块链安全公司追踪被盗资金
为挽回信任,BitoPro 于 5 月 19 日主动向链上数据分析平台 Arkham 提交新热钱包地址,更新流动性数据供公众监督。
公司创始人郑光泰强调“客户资产无损失,损失由平台承担”,并承诺提升钱包管理流程与监控等级。台湾地区金融监督管理委员会也已介入,要求其强化资安并提交事件说明。
安全启示,最脆弱的一环依然是“人”
BitoPro 事件虽损失金额远小于 ByBit 的 15 亿美元天量失窃案,但其揭示的行业漏洞具有普遍性:
- 维护期成为高危窗口:系统升级或资产迁移时,风控机制易出现临时性盲区。
- 技术防线难抵社工突破:再完善的防火墙、MFA 机制,也可能因一名员工点击恶意链接而全面失守。
- 透明度危机加剧信任崩塌:延迟披露与沟通模糊,往往比事件本身更损害用户信心。
“安全系统中最薄弱的地方永远是人”,这一结论在安全报告中被反复验证。
结语:防御进化与永不停止的攻防战
拉撒路集团的攻击是全球加密货币生态持续面临的系统性威胁。从孟加拉央行、ByBit 再到 BitoPro,其攻击手法不断演化却核心不变:利用人性弱点突破技术屏障。
BitoPro 承担了 1150 万美元损失并升级系统,但更大的挑战在于:交易所如何建立“防社工”的内控文化,并在遭遇入侵时实现快速透明响应。
在区块链的世界,信任是底层货币,而每一次黑客事件都在考验它的真正储备是否充足。
