详评超大加密货币劫案，Bybit丢的钱够买几辆迈巴赫？

币圈近期最大的事，莫过于知名加密货币交易所Bybit遭遇黑客攻击，短时间内丢失价值约15亿美元ETH事件。仅从黑客攻击事件涉及的资金规模来看，此次网络攻击堪称加密货币史上最厉害的一起大劫案，远超多年前门头沟事件。

根据近期第三方链上数据公司的调查结果，大量间接线索指向隶属于咱们领国的某国家级黑客组织——Lazaro Group。

今天，飒姐团队就跟大家简单聊聊这个Web3世界的坏蛋，是如何用落后的硬件和先进的头脑，协助半岛的“太阳”突破灯塔国的层层制裁，坐上迈巴赫、手握“大炮仗”的……

01

国家级黑客组织Lazaro Group有多猛？

重拳出击让某尼影业滑跪认输、引诱日本黑帮协助洗钱、策划实施孟加拉银行世纪大劫案......以及，近期捞到了加密资产史上最大一笔“黑金”，国家级黑客组织Lazaro Group为什么这么猛？

长期以来，受限于特殊的封闭政策以及中文互联网的刻板印象，为我们对某半岛邻国的印象似乎还停留在90-00年代“苦难行军”的阶段，隔壁的民众能插上局域网玩玩贪吃蛇已经是得到“慈父”莫大的“恩情”了。

但作为一个持续关注邻国发展、心系半岛局势、爱吃丹东草莓的专业加密行业律师团队（想去邻国旅游的第1000+天），我们知道，其实邻国的计算机技术及黑客人才储备已经偷偷发展至世界前列（至少是全球前十的水平）。

在近些年制裁加剧的情况下，邻国黑客们用着相对落后的计算机硬件，凭借着机智的头脑和机关算尽的手段，策划了一起又一起震惊世界的网络盗窃案，更是成为了加密世界的头号坏蛋：根据第三方技术公司2022年的数据，朝鲜近些年通过网络共计取得的加密资产数额已达30亿美元左右，某尊贵的迈巴赫车主持有的BTC已超过11000枚，堪称半岛巨鲸。

这一切的背后，都要归功于一个国家级神秘黑客组织——Lazaro Group。

Lazaro Group，中文名为拉撒路集团，此“拉撒路”并非我国资本市场江湖中的拉撒路、藏獒帮，而是一个由千名顶级黑客组成的强大组织，其名称来源于圣经记载中耶稣最大的一个神迹：复活病死之人拉撒路。

根据韩媒的报道，拉撒路集团是邻国人民军总参谋部下设侦查总局第三局“海外情报局”所管理的特殊网络部队，该部队分为A旅和B旅，每旅约1200人驻扎在邻国平安南道。这支部队据称最早可追溯到上个世纪80年代成立的“美林学院”（也称“电子战学校”）后来改名为“平壤自动化大学”，根据自称毕业于该学校的“脱北者”张世烈所述，其入学时这所学校每年仅招收100人左右，但基本上每年都有5000多个颇具数学天赋的青少年激烈竞争入学名额，每一个毕业生都是优中选优的顶级计算机人才。

这些最优秀的计算机人才，大量加入了拉撒路集团，通过自己聪明的头脑策划了一起又一起网络攻击案件，为半岛的“太阳”突破层层制裁封锁做出了突出贡献。

02

Bybit事件中拉撒路集团使用了何种精妙的手法？

Bybit事件其实并不复杂，2025年2月21日14时13分，黑客通过三个0wner签名替换Safe实现合约，为网络攻击完成铺路。2月21日23时30分，黑客正式下手，Bybit以太坊热钱包发生异常资金转移，大约40万枚ETH、stETH以及少量的mETH和泰达币被盗，价值约15亿美元。

其实这个事件并没有直接的实锤证据能够证明是拉撒路集团所为，但由于其作案手法与2024年比较著名的印度交易所WazirX多签钱包被盗案（约2.3亿美元）、Radiant Capital被盗案（约5千万美元）以及一贯的“拉撒路手法”极其相似，现在看来拉撒路集团可能又狠狠还上了一笔“恩情”。

总结一下，拉撒路的攻击手法大致如下：

（一）通过邮箱、社媒、飞机等即时聊天工具向能够接触到目标关键计算机网络的工作人员发送含有病毒的虚假文件，诱骗被害人打开并完成“下毒”

用Radiant Capital被盗案举例，2024年9月11日，Radiant Capital的一名开发程序员收到了一条飞机消息，发送者伪装成的一位Contractor（即外包人员），声称自己接了公司外包项目，正在做智能合约审计，想请这位程序员看看项目报告。这位Contractor随后发了一个假PDF过去，但其实这个PDF是一个 *.app 的软件程序，只要点开运行，这个程序就会在 这位程序员用的macOS系统中安一个后门，并和邻国拉撒路用的服务器（“atokyonews[.]com”）连接上。更要命的是，这位程序员大哥不仅自己点了PDF，还觉得需要让公司其他员工也看看报告研究研究“智能合约”的问题，又把PDF转发给了多名同事......

熟读半岛“太阳”光辉网络攻击案例的伙伴们都知道，这招拉撒路都用烂了，在举世闻名的孟加拉央行大劫案中，拉撒路黑客同样伪装成一个名叫Rasal的正在求职的 “傻白甜”大学生，向孟加拉银行多名员工的邮箱中发送了求职信，并在邮件中的“简历”位置放上了一个含有病毒的链接，诱骗员工点击完成“下毒”（按照正常逻辑，简历放到附件就好了，哪有人专门弄个链接的）。

在Bybit事件中，拉撒路并没有花大力气去破解交易所的多重签名冷钱包安全保护机制，而是通过类似上述欺骗的方式，欺骗并渗透了多重签名执行者的计算机，并植入恶意代码。

（二）控制关键系统或取得关键权限后，选择合适的时间节点盗取资金

在植入恶意代码后，拉撒路集团的黑客伪造了一个与正常UI界面几乎一模一样的界面，欺骗多重签名执行者执行了虚假的转账。这时候，很多小伙伴要问了，多重签名不就是用来防止出现这种情况的吗？如果一个签名者被控制、欺骗或错误转账，其他签名者能够进行double check，及时发现并制止错误的转账，防止资金损失。

飒姐团队只能说，想法很美好，人性很现实。实践中，由于错误转账、被欺骗转账、被网络攻击等是小概率事件，人作为一种会怠惰的动物，其实大部分的签名者在看到别人已经签完后，并不会仔细审核转账，直觉的认为这是一个常规转账，最终导致了这起事件的发生。

从时间上看，黑客下手的时间其实也很妙，选在2月21日23时30分（亚洲地区的周五半夜）下手是有讲究的，由于Bybit的很多工作人员是中国人，常年生活、居住在亚洲地区，这个时间节点正好是一周工作结束最放松警惕、周六周日又不上班，出了事很可能发现不了或处理起来有延迟的时候，大大增加攻击成功率。

在时间选择上，孟加拉大劫案是拉撒路集团最经典的一个案例：黑客在2015年1月就已经成功入侵了孟加拉央行，但他们一直等到了2016年2月4日晚上8点才下手，这是因为，孟加拉国的作息时间是周天至周四工作，周五周六休息，美联储则是周六周日休息，2016年2月4日恰好是周四，那么只要在这一天晚上发动攻击，至少会有一方反应不过来，等双方均发现事情的严重性并联系上的时候，就给了黑客至少4天的转移资产时间，时间将会来到2月8日。最绝的是，2月8日是2016年的正月初一，亚洲地区大部分国家都会放假，那么只要将赃款转移至亚洲过春节+金融监管洼地的国家实施洗钱行为，那么即使美国、孟加追查起来，只要亚洲国家工作人员还没上班，这钱就追不回来。

不得不说，拉撒路集团真是凭一己之力追平了技术上的差距。

（三）通过传统+科技手段洗钱

网络攻击取得的巨额财富毕竟是“黑钱”，如果没有非常强大的洗钱手法是不可能将这些钱成功变成迈巴赫的。Bybie的具体洗钱手法我们暂不得知，但从此前劫案经验来看，邻国不仅拥有强大的洗钱技术，甚至还有非常多的外部白手套。

在孟加拉大劫案上，按照原定计划，黑客获取的10亿美金将会分散转移至一些个虚假的非盈利组织账户中，最后汇总到菲律宾，通过菲律宾的赌场规避反洗钱规则（菲律宾认为不应但因反洗钱而影响赌场的生意），最后再通过损耗率较低的类似百家乐的赌博手法将黑钱洗白。

但是，人算不如天算，首先在美联储转账的环节，由于朝鲜指定的收款账户开户行位于一条名叫JUPITER的大街，而JUPITER这个名字与伊朗一条被制裁的货船同名，因此JUPITER上了美联储的敏感词黑名单，8亿美元的转账马上就触发警报被叫停，仅有1亿多美元成功转出。

其次在另一笔2000万美元的关键转账中，黑客使用的虚假斯里兰卡非盈利基金会主体名称叫“Shalika Foundation”，由于邻国人民英语水平不好，“Foundation”打成了“Fundation”，导致转账被叫停。最终，仅有8千万美元的被盗资金成功在菲律宾赌场洗出。

03

写在最后

根据飒姐团队近期对邻国的观察，我们发现邻国正在加快对AI技术的研究和应用并正在取得显著的成果，特别是在将AI应用到网络攻击时，能够显著弥补拉撒路集团黑客精英们懂技术但不懂英文的尴尬，可以预见的是，这个Web3世界的大坏蛋，很可能将在未来很长一段时间内制造更多的麻烦。行业小伙伴们务必警惕，必须做好员工日常防网络攻击培训。

最后，回答题目提出的问题，按照2024年最新一代迈巴赫的美国定价184900元计算，邻国的“太阳”大约喜提8112辆新车。