2 月 22 日凌晨，链上侦探 Zachxbt 监控到 Bybit 疑似遭遇可疑资金流出。随后链上记录显示，Bybit 一多签地址将价值 15 亿美元的 ETH 转出，并使用 DEX 将 LSD 资产兑换为原生 ETH。或受 FUD 情绪影响，以太坊短时跌破 2700 美元；Bybit 原生平台代币 MNT 短时跌破 0.9 美元，24 小时跌幅 7.71%。

Bybit CEO Ben Zhou 很快做出回应称，黑客的确控制了特定 ETH 冷钱包，但其余冷钱包安全且提现正常。Ben Zhou 还强调，Bybit 具备偿付能力，可以承担这笔损失。BlockBeats 将持续关注并实时更新，以下为时间线整理：

2 月 22 日

Chainflip 回应 Bybit CEO：作为去中心化协议无法完全阻止、冻结或重定向任何资金

16 时 33 分，跨链桥 Chainflip 回应 Bybit CEO 的冻结请求称，「我们已经尽力处理当前情况，但作为一个去中心化协议，我们无法完全阻止、冻结或重定向任何资金。不过，目前我们已关闭了一些前端服务，以阻止资金流动。」

ZachXBT：Bybit 黑客开始将资金与 Phemex 案资金归集在一起

16 时 09 分，链上侦探 ZachXBT 在社交媒体上发文表示，Lazarus Group 刚刚将 Bybit 黑客攻击案的一部分资金，与 Phemex 黑客攻击案的资金直接在链上进行了归集，将这两起事件的初始盗窃地址的资金混合在一起。

ZachXBT：监测到 Bybit 黑客正转移资产并通过混币器洗钱

链上侦探 ZachXBT 在官方频道发文表示，其监测到 Lazarus Group 将 5000 枚 ETH 从 Bybit 黑客地址转移到一个新地址，开始通过 eXch（集中式混币器）洗钱，并通过 Chainflip 将资金转入比特币网络。

Bybit CEO：监测到黑客试图通过 Chainflip 转移资产，将很快推出针对跨链桥的赏金计划

15 时 21 分，Bybit CEO Ben Zhou 在社交媒体上发文表示，其监测到黑客正试图通过 Chainflip 转移资产至 BTC 网络。希望跨链桥项目帮助 Bybit 阻止并防止进一步将资产转移到其他链。Bybit 将很快向任何帮助其阻止或追踪导致资金追回的资金的人发布赏金计划。

Bybit 过去 12 小时资金流入超 40 亿美元，已覆盖全部被盗资金缺口

据 SoSoValue 统计以及链上安全团队 TenArmor 的最新监测数据显示，Bybit 交易平台在过去 12 小时内共计流入资金超过 40 亿美元，具体包括 63,168.08 枚 ETH、31.5 亿美元的 USDT、1.73 亿美元的 USDC 和 5.25 亿美元的 CUSD。

根据比较资金流入数据，此次资金流入已完全覆盖昨日因黑客攻击所导致的资金缺口。同时，Bybit 交易平台的各项服务，包括提现功能，均已恢复正常。

慢雾余弦：在攻击原因不明的情况下，CZ 提议的暂停提币也是正确的

14 时 29 分，慢雾创始人余弦在社交媒体上发文表示，从安全角度来看，在原因不明情况下，紧急停止钱包系统的建议是对的。Bybit 这次被盗响应速度极快，定位问题也是极快。慢雾以及一些安全团队当时第一时间介入沟通交流，快速将问题确定并推测黑客画像。Bybit 一切准备妥当再及时开通提币没有问题。

余弦解释称，其认为 CZ 此前的建议和 Bybit 最终解决的都没问题，目前很多业内人士在内耗这个争议，却忘记了共同敌人应该是朝鲜黑客。

Du Jun：将转移 1 万枚 ETH 至 Bybit，1 个月内不会提币

12 时 32 分，ABCDE 联创 Du Jun 在社交媒体上发文表示，其个人今日将转移 1 万枚 ETH 至 Bybit，且 1 个月内不会提币。

WSJ：CertiK 确认 Bybit 事件为加密史上最大盗窃案

《华尔街日报》援引 Web3.0 安全机构 CertiK 的观点称，此次 Bybit 事件是加密史上金额最大的单次盗窃事件，这一黑客攻击导致的被盗资产估值逾 14 亿美元。

事件发生后，Bybit 公告表示已向相关当局报告案件，其 CEO Ben Zhou 称 Bybit 所有功能和产品仍正常运行，交易所具备偿付能力，将全额承担客户损失。截至目前，Bybit 所有提款需求已处理完毕，且提款系统已恢复正常速度。

慢雾余弦：Safe 前端被篡改伪造达到欺骗效果，朝鲜黑客已多次进行类似操作

11 时 40 分，慢雾创始人余弦在社交媒体上发文表示，Safe 合约没有问题，问题在于非合约部分，前端被篡改伪造达到欺骗效果。这个不是个案，朝鲜黑客去年通过该手法成功过几次，比如 WazirX 事件（被盗 2.3 亿美元，Safe 多签）、Radiant Capital 事件（被盗 5000 万美元，Safe 多签）、DMM（被盗 3.05 亿美元，Gonco 多签）。这种攻击手法工程化成熟。其他家也需要多注意，多签可能不止 Safe 存在这类攻击点。

Bybit 黑客 ETH 持有量超过富达、Vitalik，成为全球第 14 大持有者

Coinbase 主管 Conor Grogan 在社交媒体上发文表示，Bybit 黑客（疑似来自朝鲜）已成为全球第 14 大 ETH 持有者，其持有量约占以太坊代币总供应量的 0.42%。这一数量已超过富达（Fidelity）投资公司、以太坊联合创始人 Vitalik Buterin 的 ETH 持有量，且是以太坊基金会 ETH 持有量的 2 倍以上。

Bybit CEO：提款系统现已完全恢复正常，将发布完整事件报告

10 时 51 分，Bybit CEO Ben Zhou 发文表示，距离历史上最严重的黑客攻击过后 12 小时。所有提款均已处理。Bybit 提款系统现已完全恢复正常，用户可以提取任何金额，并且不会有任何延迟。感谢用户的耐心等待，Bybit 对这种情况的发生感到抱歉。Bybit 将在未来几天内发布完整的事件报告和安全措施。

Bybit 黑客的 1.5 万枚 cmETH 解质押申请被拒，或能成功拦截

9 时 15 分，据链上数据分析师余烬监测，1 小时前，Bybit 黑客的 1.5 万枚 cmETH 解质押申请被 cmETH 提款合约退回。此后，黑客在 DODO 上进行了 cmETH 的交易授权，但并没有进一步的交易，可能是因为 cmETH 的流动性池子非常浅导致。

这 1.5 万枚 cmETH 应该是可以被拦截住了。除了这 1.5 万枚 cmETH，Bybit 的被盗 ETH 数量是 49.9 万枚 (约合 13.7 亿美元)，被黑客分散存放在 51 个地址中。

Safe：全面排查后仍未发现安全漏洞，没有其他 Safe 地址受到影响

9 时 08 分，Safe 在社交媒体上针对「ByBit 显示了看似正确的交易信息，然而在链上执行了一个具有所有有效签名的恶意交易」问题回应称：

· 未发现代码库泄露：对 Safe 代码库进行了彻底检查，未发现泄露或修改的证据。

· 未发现恶意依赖项：没有迹象表明 Safe 代码库中的恶意依赖项会影响交易流（即供应链攻击）

· 在日志中未检测到对基础设施的未经授权的访问

· 没有其他 Safe 地址受到影响

Safe 表示，目前其暂时暂停了 Safe{Wallet} 功能，以用户确保对 Safe 平台的安全性有绝对的信心。尽管调查显示没有证据表明 Safe{Wallet} 前端本身遭到入侵，但我们正在进行更彻底的审查。

Bybit CEO：已处理 99.99% 的提款请求

8 时 52 分，Bybit CEO Ben Zhou 在社交媒体上发文表示，自黑客攻击事件以来（10 小时前），Bybit 经历了我们见过的最多的提款数量，总共有超过 35 万笔提款请求，到目前为止，大约有 2100 个提款请求有待处理。总体 99.994% 的提款已完成。整个团队整夜保持清醒，处理和回答了客户的问题和疑虑。

Bitget 于 5 小时前转移 4 万枚 ETH 借款至 Bybit 以缓解提现压力

9 时左右，据链上数据分析师余烬监测，5 小时前，Bitget 向 Bybit 支援了 4 万枚 ETH (约合 1.059 亿美元) 借款以度过这次 ETH 被盗后的提现潮，这些 ETH 直接从 Bitget 转进了 Bybit 冷钱包地址。

7 时 27 分，Bybit CEO Ben Zhou 在社交媒体上针对「Binance 和 Bitget 累计向 Bybit 的冷钱包存入超过 50,000 枚 ETH」的新闻发布回应称，感谢 Bitget 在此刻伸出援手，Bybit 仍在与 Binance 和其他几个合伙伙伴进行沟通，该消息所描述的资金与 Binance 官方无关。

Bybit：已与链上分析机构进行广泛合作以限制黑客抛售 ETH

5 时 07 分，Bybit 官方在社交媒体上发文表示，其已向有关当局报告了本次被盗的情况，一旦获得任何进一步的信息，将立即发送更新。同时，Bybit 已经与链上分析提供商进行了快速而广泛的合作，以识别所有涉及的地址。这些行动将减轻和打击不良行为者通过合法市场处置和抛售 ETH 的能力，从而缩小可用的处置渠道。

朝鲜 Lazarus Group 被指控策划 Bybit 黑客攻击事件

4 时 21 分，Arkham 在 X 平台发文称，ZachXBT 在 19:09 UTC 提交证据，证明朝鲜 Lazarus Group 策划了此次攻击，并附带测试交易分析、相关钱包连接及取证图表。该报告已提交给 Bybit 团队协助调查。

Bybit CEO：多签转账时存在问题但没留意，当前挤兑高峰期已过

1 时 29 分，Bybit CEO Ben Zhou 于直播中分享称，「多签转账时其是最后一个签名的，使用的 ledger 设备，签名时存在问题但是没留意，签名时没显示送达地址。目前共有 4000 笔提币交易处在等待处理状态。」

Ben Zhou 在直播中再次强调，Bybit 财库可以覆盖 40 万枚以太坊的损失。「我们已经处理了 70% 的提款，挤兑高峰已经过去，大额提款正在接受常规安全审查，接下来几个小时我们仍在处理剩余的提款。所有客户的提款都将得到处理。」

Ben Zhou 还表示正考虑从合作伙伴处获得桥接贷款以弥补被盗资金。「不会购买以太坊，正在考虑从合作伙伴处获得桥接贷款以弥补被盗资金，80% 已经获得保障。」

Safe 安全团队正与 Bybit 合作，尚未发现 Safe 前端遭入侵证据

0 时 47 分，Safe 安全团队发文表示正在与 Bybit 密切合作，进行持续调查。目前尚未发现官方 Safe 前端遭到入侵的证据。但出于谨慎考虑，Safe{Wallet} 已暂时暂停某些功能。用户安全是我们的首要任务，将尽快提供更多更新。

Bybit 黑客将 49 万枚 ETH 分散转移至 49 个地址中，仍有 1.5 万枚 cmETH 等待解质押

0 时 45 分，据 EmberCN 监测，Bybit 的 ETH 多签冷钱包被盗 51.4 万枚 ETH，价值 14.29 亿美元。黑客已经将其中 49 万枚 ETH 分散转移到了 49 个地址中 (每个地址 1 万枚)。「另外还有 1.5 万枚 cmETH 正在被黑客解质押中 (有 8 小时等待期，不知道这个能否拦截下来了)。」

慢雾披露 Bybit 黑客作案细节

0 时 36 分，慢雾发文披露 Bybit 黑客作案细节：

· 恶意的实现合约在 UTC 2025-02-19 7:15:23 被部署

0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516

· 攻击者在 UTC 2025-02-21 14:13:35 利用三个 owner 签署了将 Safe 实现合约替换为恶意合约的交易

0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882

· 恶意的升级逻辑通过 DELEGATECALL 被嵌入 STORAGE[0x0]

0x96221423681A6d52E184D440a8eFCEbB105C7242

· 攻击者利用恶意合约中的后门函数 sweepETH 与 sweepERC20 偷空了热钱包。

何一、CZ、Justin Sun 先后声援 Bybit，表示愿随时提供帮助

0 时 29 分，Binance 联合创始人何一于社交平台回应 Bybit 被盗事件称，「We are here when you need(我们随时待命，随时提供帮助)」。

0 时 34 分，Binance 创始人 CZ 于社交平台回应 Bybit 被盗事件称，「这并不是一个容易处理的情况。建议暂时暂停所有提现，作为标准的安全预防措施。如有需要，我愿意提供任何帮助。祝好运！」

0 时 39 分，火币 HTX 全球顾问、波场 TRON 创始人 Justin Sun 于社交平台回应 Bybit 被盗事件称，「我们一直在密切关注 Bybit 事件，并将尽最大努力协助我们的合作伙伴追踪相关资金，提供我们能力范围内的所有支持。」

Defillama 创始人：Bybit 黑客事件后用户提现净流出金额已达 7 亿美元

0 时 23 分，Defillama 创始人 0xngmi 于社交平台发文分享称，「到目前为止，在 Bybit 发生黑客事件后，用户提现导致的净流出金额已达到 7 亿美元。」

Bybit 被盗原生 ETH 及各类衍生 ETH 总计 514,723 枚

据 OnchainLens 监测，Bybit 被盗资金流出具体情况如下：

· 401,347 枚 ETH，价值 11.2 亿美元；

· 90,376 枚 stETH，价值 2.5316 亿美元；

· 15,000 枚 cmETH，价值 4413 万美元；

· 8,000 枚 mETH，价值 2300 万美元。

被盗的原生 ETH 及各类衍生 ETH 总计 514,723 枚。

Bybit CEO：很快将开启直播以回答所有问题

0 时 20 分，Bybit CEO Ben Zhou 于 X 平台发文更新称，「我很快就会开始直播，回答所有问题！！请继续关注。」

Ethena：Bybit 对冲头寸相关 PNL 仅不足 3000 万美元，USDe 现货资产托管于 CEX 之外

0 时 16 分，Ethena Labs 发文称，「我们已关注到 Bybit 目前正在发展的情况，并将持续监控最新动态。提醒大家：所有支持 USDe 的现货资产均托管在交易所以外的托管解决方案中，包括 Bybit 通过 Copper Clearloop 进行托管，正是为了这种情况做准备。

没有任何一美元的现货支持资金存放在任何交易所，包括 Bybit。目前，与 Bybit 对冲头寸相关的未实现总收益（PNL）不到 3000 万美元，远低于储备基金的一半。USDe 目前仍然是完全超额抵押的。我们将在收到进一步信息时提供更新。」

ZachXBT：Bybit 黑客将 1 万枚 ETH 分散至 39 个新地址，呼吁各方及时拉黑

ZachXBT 发文称 Bybit 黑客已将 10,000 ETH 分散至 39 个新地址。「如果您是交易平台或服务提供商，请在所有 EVM 链上拉黑这些地址。」

慢雾余弦：Bybit 黑客攻击手法与朝鲜黑客相似

慢雾创始人余弦发文表示，「虽然现在没有明确证据，但从搞 Safe 多签的手法及目前洗币手法，像朝鲜黑客。」

2 月 21 日

Bybit 黑客已开始向多个地址分散资金

23 时 57 分，据 Arkham 监测，Bybit 黑客已开始向多个地址分散资金。

Bybit CEO：平台提现正常，其余冷、热钱包均没有受到影响；Bybit 具备偿付能力，可以承担这笔损失

23 时 53 分，Bybit CEO Ben Zhou 发文更新称，Bybit 的热钱包、暖钱包和所有其他冷钱包都没有受到影响。唯一被黑客攻击的是 ETH 冷钱包。所有提现均正常。同时强调，「Bybit 依然具备偿付能力，即使此次黑客攻击导致的损失无法追回，所有客户资产仍然保持 1:1 支持，我们可以承担这笔损失。」

Bybit 平台总资产为 157.27 亿美元，以太坊资产达 51.8 亿美元

截至 2 月 21 日 23 时 54 分，据 Defillama 数据，Bybit 平台总资产为 157.27 亿美元，其中包括：

· 62.63 亿美元的比特币；

· 51.8 亿美元的以太坊；

· 13.5 亿美元的 SOL；

· 11.43 亿美元的 TRON。

Bybit CEO：黑客控制了特定 ETH 冷钱包，其余冷钱包安全且提现正常

23 时 44 分，Bybit 联合创始人兼 CEO Ben Zhou 发文称，「Bybit 的 ETH 多签冷钱包大约 1 小时前进行了转账到我们的热钱包。看起来这笔交易被伪装了，所有签名者都看到伪装的界面，显示了正确的地址，并且 URL 来自 Safe。

但是签名信息却是要更改我们 ETH 冷钱包的智能合约逻辑。这导致黑客控制了我们签名的特定 ETH 冷钱包，并将钱包中的所有 ETH 转移到这个未确认的地址。

请放心，所有其他冷钱包都是安全的。所有提现都是正常的。我会在更多情况出现时继续更新。如果有团队可以帮助我们追踪被盗的资金，将不胜感激。」

Bybit 一多签地址将价值 15 亿美元的 ETH 转出，并使用 DEX 将 LSD 资产兑换为原生 ETH

几分钟后，加密 KOL Finish 发文称，根据链上数据，Bybit 的一个多重签名地址将价值 15 亿美元的 ETH 转移到新地址。资金到达新地址 0x47666fab8bd0ac7003bce3f5c3585383f09486e2，然后转移到 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e，0xa4 目前正在出售 stETH 和 mETH 以换取 ETH。

「目前该地址正在使用 4 种不同的 DEX，如果他们只是将 LSD 换成原生 ETH，交易执行效果会很糟糕（磨损较大）。这种规模通常会通过场外交易进行，因此这很不寻常。」

Zachxbt 监控 Bybit 疑似遭遇可疑资金流出

2 月 21 日晚 23 时 27 分左右，Zachxbt 监控频道称，目前正在监控从 Bybit 流出的可疑资金，总额超过 14.6 亿美元。

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia