Bybit遭窃案引发关注，Elliptic指出北韩骇客利用混币器洗钱，支付商与OTC或将迎来大规模冻结！

加密货币交易所 Bybit 21 日遭北韩骇客组织 Lazarus Group 攻击，导致约 50 万枚 ETH 被盗，Elliptic 今日分析，按照过去洗钱模式，该组织下一步很可能会使用混币器来掩盖资金流向，Bitrace 则警告，未来若干个月内，即将出现针对 OTC 群体与加密支付公司的大规模冻结潮。
（前情提要：Bybit窃案后》Safe多签钱包暂停支援Ledger：将实施额外交易检查，逐步恢复服务）

加密货币交易所 Bybit 21 日遭骇合计约 50 万枚 ETH、stETH、cmETH 和 mETH（价值 14.6 亿美元），成为加密货币史上最大窃案，区块链安全公司 Elliptic 今日撰文指出，这起 Bybit 窃案是北韩骇客组织 Lazarus Group 所为。

骇客下一步可能使用混币器

Elliptic 表示，Lazarus Group 的洗钱过程通常遵循固定模式，主要分为两步，第一步是将被盗资金转换为原生区块链资产，像是 ETH，因为许多代币的发行方有能力冻结遭窃资金，ETH 没有中心化机构控制，无法被冻结，因此成为骇客首选资产。

此次 Bybit 遭骇后数分钟内，数亿美元的 stETH、cmETH 等代币就被迅速兑换为 ETH，骇客选择 DEX 来进行兑币，以避免使用中心化交易所时可能遭遇冻结风险。

Elliptic 进一步指出，Lazarus Group 的第二步就是透过分层交易手法来隐藏资金流向，以拖延调查时间，争取机会将资金变现，这些手法包括：

• 将资金拆分并转入大量不同的加密货币钱包
• 透过跨链桥将资金转移至其他链
• 透过 DEX、CoinSwap 服务或交易所转换成不同加密资产
• 使用混币器，如 Tornado Cash 或 Cryptomixer 来掩盖资金来源

Elliptic 表示，骇客目前正逐步将 ETH 转换为 BTC ，主要透过 eXch （eXch 是允许用户匿名兑换加密资产的交易所）等平台，若按照过去的洗钱模式，下一步很可能会使用混币器来进一步掩盖交易路径，但由于此次窃取资金规模庞大，可能会对混币器运作造成挑战。

自 Bybit 遭骇以来，骇客已透过 eXch 兑换数千万美元的被盗资产，Bybit 曾向 eXch 提出请求，要求拦截被盗资金，但遭到拒绝，eXch 称鉴于过去一年 ByBit 对该平台的直接攻击，很难理解此时的合作期望。

OTC 与支付商大规模冻结潮将至？

与此同时，Bitrace 发文警告，在 Bybit 遭遇 15 亿美元骇客攻击后，未来若干个月内，即将出现针对 OTC 群体与加密支付公司的大规模冻结潮。

Bitrace 研究显示，骇客组织除了使用无许可的行业基础设施进行资金清洗外，还会大量使用中心化平台进行倾销，这直接导致大量故意或非故意收取赃款的交易所使用者帐户被风控，OTC 商与支付机构的业务地址被泰达冻结。

Bitrace 指出，2024 年日本 DMM 交易所遭骇客攻击后，攻击者将 6 亿美元资金转移至支付机构 HuionePay，致使其热钱包中 2900 万美元被冻结，2023 年 Poloniex 遭攻击损失超 1 亿美元，骇客通过场外交易清洗资金导致大量 OTC 商户业务受阻，或者用于存放业务资金的交易所帐户被风控：

这也为我们敲响了警钟，是时候重视 Crypto 反洗钱意识与 KYT （Know Your Transaction）程序了。