Lazarus 开始洗钱，目标是从 Bybit 窃取的 40 万以太币。

朝鲜黑客组织 Lazarus 刚刚开始洗钱，目标是 Bybit 被黑客攻击损失的 15 亿美元中的 5000 个以太坊，这是他们典型的复杂洗钱行动的开端。.

区块链调查员 ZachXBT 曝光了这一事件，在 Telegram 更新中分享了钱包地址和时间戳，但不久之后，Bybit 首席执行官 Ben Zhou 通过 X 帖子证实了此事，不过不到一个小时后，Zach 就删除了该帖子。.

我们开始看到一些资金被转移到 https://t.co/O4AqIJo81z 作为桥梁，用于兑换成比特币：bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

包含以下交易：
0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…

— Ben Zhou (@benbybit) 2025年2月22日

被盗的加密货币首先到达一个新的 Ethereum 地址，然后通过中心化混币器 eXch 进行路由，最后通过 Chainflip 桥接到 Bitcoin 。.

随着资金流动，Bybit 迎来大量资金流入。

与此同时，Bybit交易所在灾难中迎来了大量资金流入。SoSoValue和TenArmor的数据显示，过去12小时内，该交易所收到超过40亿美元的存款，其中包括63,168.08个ETH、价值31.5亿美元的USDT、1.73亿美元的USDC和5.25亿美元的CUSD。.

其中大部分资金来自 Bybit 冷钱包到热钱包，用于从外部流动性提供商处提取资金和进行过桥贷款。.

在删除 Telegram 帖子几分钟后，Zach 发帖 ，将 Bybit 黑客事件与 Phemex 黑客事件联系起来，揭露了被盗资金的重叠情况。Zachdent在帖子中写道：

据 Zach 称，这两个攻击共用一个地址：0x33d057af74779925c4b2e720a820387cb89f8f65。Bybit 的 Ben Zhou 证实，提款速度现已恢复正常。.

“距离史上最严重的黑客攻击事件仅过去了12个小时。所有提款都已处理完毕。我们的提款系统已全面恢复正常。您可以提取任意金额，不会遇到任何延迟。”他说道。.

周先生还承诺将在未来几天内发布完整的dent 报告和新的安全措施。“Bybit将在未来几天内发布完整的dent 报告以及安全措施。我会亲自向大家通报最新情况。”

与此同时，Elliptic、Chainalysis 和 Arkham Intelligence trac到被盗的 ETH 在 39 个不同的地址中被迅速转移和卸载，随后 Arkham 宣布悬赏 3.6 万美元dent黑客，Zach 不久后揭露了 Lazarus 的身份，赢得了赏金。.

根据 Elliptic 的记录， Bybit 黑客事件 已成为历史上最大的加密货币盗窃案，超过了 Poly Network 被盗的 6.11 亿美元（2021 年）和 Binance （2022 年）。

Lazarus 组织曾多次从加密货币平台窃取资金，用于资助朝鲜政权。该组织于 2017 年首次袭击韩国交易所，窃取了价值 2 亿美元的 Bitcoin。此后，他们不断完善先进的加密货币洗钱手段，利用混币器、桥接器和一些鲜为人知的 DeFi 协议来隐藏资金。

Elliptic 的 Tom Robinson 周五证实，所有被盗钱包地址都已被标记，以防止通过主要交易所进行洗钱。.

罗宾逊在一篇帖子中写道：“我们越是让这类犯罪行为难以获利，这类犯罪行为发生的频率就越低。”