作者：慢雾安全团队

背景

北京时间 2025 年 2 月 21 日晚，据链上侦探 ZachXBT 披露，Bybit 平台发生大规模资金流出的情况。此次事件导致超 14.6 亿美元被盗，成为近年来损失金额最大的加密货币盗窃事件。

链上追踪分析

事件发生后，慢雾安全团队立即发布安全提醒，并对被盗资产展开追踪分析：

根据慢雾安全团队的分析，被盗资产主要包括：

· 401,347 ETH（价值约 10.68 亿美元）
· 8,000 mETH（价值约 2,600 万美元）
· 90,375.5479 stETH（价值约 2.6 亿美元）
· 15,000 cmETH（价值约 4,300 万美元）

我们使用链上追踪与反洗钱工具 MistTrack 对初始黑客地址

0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

进行分析，得到以下信息：

ETH 被分散转移，初始黑客地址将 400,000 ETH 以每 1,000 ETH 的格式分散到 40 个地址，正在继续转移。

其中，205 ETH 通过 Chainflip 换为 BTC 跨链到地址：

bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

cmETH流向：15,000 cmETH 被转移至地址：

0x1542368a03ad1f03d96D51B414f4738961Cf4443

值得注意的是，mETH Protocol 在 X 上发文表示，针对 Bybit 安全事件，团队及时暂停了 cmETH 提款，阻止了未经授权的提现行为，mETH Protocol 成功从黑客地址回收了 15,000 cmETH。

mETH 和 stETH 转移：8,000 mETH 和 90,375.5479 stETH 被转移到地址：

0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e

接着通过 Uniswap 和 ParaSwap 兑换为 98,048 ETH 后，又转移到：

0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92

地址 0xdd9 以每 1,000 ETH 的格式将 ETH 分散至 9 个地址，暂未转出。

此外，对攻击手法分析小节推出的黑客发起初始攻击的地址：

0x0fa09C3A328792253f8dee7116848723b72a6d2e

进行溯源，发现该地址的初始资金来自 Binance。