ChainCatcher 메시지에 따르면, 독립 연구원 @0xNing0x의 분석에 의하면 Bybit의 이번 해킹 사건에 관련된 ETH 자금 일부는 stETH/mETH 형태로 저장되어 있으며, 해커는 이를 Uniswap, DODO 및 ParaSwap을 통해 ETH로 교환하고 자금을 이더리움에서 솔라나 네트워크로 크로스 체인 전송했습니다.연구에 따르면, 해커 자금은 "중심 클러스터 + 여러 개의 위성 소클러스터 + 복잡한 상호 전환 네트워크"의 특성을 보입니다. 솔라나 네트워크의 거래 로그 가독성이 낮은 특성 때문에 자금 추적이 어려워졌습니다. 분석가는 해커가 곧 발행될 Kanye 유명인 meme 코인을 이용해 자금을 세탁할 계획일 수 있다고 추측하고 있습니다.이전 소식에 따르면, 유명 래퍼 Kanye West가 X 플랫폼에 글을 올리며 다음 주에 공식 토큰을 출시할 것이라고 밝혔으며, 현재 모든 토큰은 가짜입니다.

ChainCatcher 메시지에 따르면, Taproot Wizards 공동 창립자 Eric Wall의 분석에 따르면, Bybit 해킹 사건은 북한 해커 조직 Lazarus Group의 소행으로 거의 확정되었습니다. Chainalysis의 2022년 보고서에 따르면, 이 조직은 도난당한 자금을 처리할 때 일반적으로 고정된 패턴을 따르며, 전체 과정은 수년이 걸릴 수 있습니다. 2022년 데이터에 따르면, 이 조직은 2016년 공격으로 얻은 5500만 달러의 자금을 여전히 보유하고 있으며, 이는 빠르게 현금화할 의도가 없음을 보여줍니다.도난당한 자금의 처리 과정:첫 번째 단계: 모든 ERC20 토큰(예: stETH와 같은 유동성 파생상품)을 ETH로 변환합니다;두 번째 단계: 획득한 ETH를 모두 BTC로 교환합니다;세 번째 단계: 아시아 거래소를 통해 BTC를 점진적으로 중국 위안화로 교환합니다;최종 용도: 이 자금은 북한의 핵무기 및 탄도 미사일 프로그램을 지원하는 데 사용될 것이라고 전해집니다;분석에 따르면, Bybit는 현재 약 15억 달러의 ETH 부족을 대출 방식으로 보충하고 있으며, 이 전략은 도난당한 자금을 회수할 기대에 기반할 수 있습니다. 그러나 Lazarus Group의 소행으로 확인된 만큼, 회수 가능성은 극히 낮으며, Bybit는 ETH를 구매하여 대출을 상환해야 할 것입니다. 장기적으로 Bybit의 ETH 구매와 Lazarus Group의 ETH 매도 후 BTC 교환 행위는 서로 상쇄될 수 있으며, Lazarus Group이 확보한 BTC는 향후 수년 내에 점진적으로 매도 압력으로 전환될 것입니다.

ChainCatcher 메시지에 따르면, Coinbase의 책임자 Conor Grogan이 X에 게시한 내용에 따르면, Arkham 플랫폼 모니터링 데이터에 따르면 Bybit 해커(아마도 북한에서 온)가 전 세계에서 14번째로 큰 ETH 보유자가 되었으며, 그들은 약 0.42%의 이더리움 총 공급량을 보유하고 있으며, Fidelity와 Vitalik의 이더리움 보유량을 초과하고 있으며, 이더리움 재단 ETH 보유량의 2배 이상입니다.

ChainCatcher 메시지에 따르면, Arkham 모니터링에 의해 체인 탐정 ZachXBT가 베이징 시간으로 오전 3시 09분에 확실한 증거를 제출하여 이번 Bybit에 대한 공격이 북한 해커 조직 Lazarus Group에 의해 수행되었음을 확인했습니다.ZachXBT의 분석 보고서에는 공격 전의 테스트 거래, 연관 지갑 분석, 여러 증거 차트 및 타임라인 분석 등 자세한 정보가 포함되어 있습니다. 해당 보고서는 Bybit 팀에 제출되어 조사 작업을 지원하고 있습니다.

ChainCatcher 메시지에 따르면, Bybit CEO Ben Zhou는 해킹 공격(10시간 전) 이후 Bybit가 역사상 가장 많은 출금을 경험했으며, 총 35만 건 이상의 출금 요청을 받았고, 현재 약 2100건의 출금 요청이 처리 중이라고 밝혔습니다. 전체적으로 99.994%의 출금이 완료되었습니다.역사상 가장 심각한 해킹 공격(은행, 암호화폐, 금융)을 당했음에도 불구하고 모든 Bybit 기능과 제품은 정상적으로 운영되고 있으며, 전체 팀이 밤새 고객의 질문과 우려를 처리하고 응답하기 위해 대기하고 있습니다. 전원이 대기 중입니다.

ChainCatcher 메시지, Bybit 공식은 소셜 미디어에 게시하여 관련 당국에 이번 도난 사건을 보고했으며, 추가 정보가 들어오는 대로 즉시 업데이트를 보낼 것이라고 밝혔습니다.동시에, Bybit는 모든 관련 주소를 식별하기 위해 블록체인 분석 제공업체와 신속하고 광범위한 협력을 진행했습니다. 이러한 조치는 불법 행위자가 합법적인 시장을 통해 ETH를 처분하고 매각할 수 있는 능력을 줄여, 사용 가능한 처분 경로를 축소할 것입니다.

ChainCatcher 메시지에 따르면, DefiLlama 데이터에 포함된 해킹된 자금을 포함하여 Bybit의 오늘 총 유출량은 22.35억 달러입니다. 그럼에도 불구하고 그들은 140억 달러 이상의 온체인 검증 자산을 보유하고 있으며, 그 중 59.44억 달러는 BTC입니다.

ChainCatcher 메시지, 보안 서비스 제공업체 Beosin이 발표한 바에 따르면, 해커가 초기 공격을 시작한 주소를 분석한 결과 Gas 비용이 바이낸스에서 발생한 것으로 나타났습니다. Beosin은 Bybit이 자오창펑과 허이에게 직접 연락하여 해커의 KYC 정보를 요청할 것을 권장합니다.

ChainCatcher 메시지에 따르면, 체인 분석가 유진이 모니터링한 결과 Bybit의 ETH 다중 서명 콜드 월렛에서 51.4만 개의 ETH가 도난당했으며, 이는 142.9억 달러에 해당합니다.해커는 그 중 49만 개의 ETH를 49개의 주소로 분산 전송했습니다 (각 주소당 1만 개). 유진은 또한 1.5만 개의 cmETH가 해커에 의해 언스테이킹되고 있으며 (8시간 대기 시간 있음) 추가로 언급했습니다.

ChainCatcher 메시지, 느린 안개余弦이 X 플랫폼에 글을 올리며 말했습니다: "현재 명확한 증거는 없지만, Safe 다중 서명 방식과 현재의 세탁 화폐 방식이 마치 북한 해커들처럼 보입니다. 북한 해커들, 만약 제가 여러분을 억울하게 했다면, 저를 정정해 주세요. 저는 사과할 것입니다..."

ChainCatcher 메시지에 따르면 Arkham 모니터링 결과, Bybit 해커가 여러 주소로 자금을 분산하기 시작했습니다.

ChainCatcher 메시지에 따르면, Protos는 개발자 "Calle"가 라이트닝 네트워크에 취약점이 있다고 경고했다고 보도했습니다. LND 0.18.5 이하 또는 LITD 0.14.1 버전의 노드를 사용하는 경우 보안 위험이 존재합니다. 이 취약점은 해커가 라이트닝 송장 결제 상태를 원격으로 조작하여 자금을 탈취할 수 있게 합니다.Satoshi Labs 공동 창립자 Pavol Rusnak도 유사한 경고를 발송하며 라이트닝 네트워크 사용자에게 노드 소프트웨어를 신속히 업데이트할 것을 권장했습니다. LND 0.18.5 및 LITD 0.14.1 버전은 이 취약점을 수정했지만, LND 0.18.5가 지난주에만 출시되었기 때문에 많은 노드가 여전히 업데이트되지 않아 위험이 존재합니다.

ChainCatcher 메시지에 따르면, PeckShield의 모니터링 결과 Phemex 해커 주소가 TRON 체인에서 "풀 빼기" 사건을 겪었습니다. 해커는 이전에 약 130만 TRX(약 32만 달러 가치)를 약 6100만 개의 FIDA 토큰으로 교환하여 한때 FIDA 토큰의 두 번째로 큰 보유자가 되었습니다. 이후 FIDA 프로젝트 측이 유동성을 제거하여 FIDA 토큰 가격이 43% 급락했습니다.

ChainCatcher 메시지에 따르면, 파이쉴드 모니터링 결과, 암호화 거래 플랫폼 Phemex 해커가 2.4만 개의 AVAX를 새로운 주소로 전송하였으며, 약 60만 달러에 해당합니다.파이쉴드는 1월에 암호화 거래 플랫폼 Phemex가 해킹 공격을 받아 손실된 암호화 자산 규모가 약 6910만 달러에 달하며, 여러 체인 및 토큰이 관련되어 있다고 밝혔습니다.

ChainCatcher 메시지에 따르면, X 사용자 @S4mmyEth가 "ai16z 창립자 Shaw의 X 계정이 해킹당했습니다. 상호작용하지 마세요. 그가 가짜 Eliza 사기 링크를 게시했습니다."라고 밝혔습니다.

ChainCatcher 메시지에 따르면, GoPlus는 X에서 발표한 바와 같이 공격자의 관련 주소를 확인하였으며, 이를 모두 블랙리스트 처리하였습니다. 주목할 점은 공격자가 0x9AE로 시작하는 지갑을 사용하여 여러 주소로 Gas를 전송했지만, 아직 Token 전송은 이루어지지 않았다는 것입니다. 사용자들은 안전한 지갑으로 자산을 전송할 기회가 있습니다.공격자가 Gas를 발급하는 데 사용한 주소: 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35공격자가 도난한 코인을 집계하는 주소 1: 0x49add3e8329f2a2f507238b0a684d03eae205aab집계 주소 2: 0x7831d05afc72a10bd475eb4777680b4e9204695a집계 주소 3: 0xb312a2c9ab9700dac49798f457b4c28e28f1c4fc집계 주소 4: 0xc657b6e6c59af5bcff4de626dab52832e77d2996사용자들은 경계를 유지하고 정기적으로 지갑의 안전성을 점검하시기 바랍니다.

ChainCatcher 메시지에 따르면, zkLend 공식 발표에 의거하여 해커가 마감일 이전에 프로젝트 측과 연락을 취하지 않음에 따라, zkLend 팀은 홍콩 경찰, FBI 및 국토안보부에 사건 보고서를 제출하고 조사를 시작했습니다.조사 결과, 해당 해커는 이전에 다른 DeFi 프로토콜에서 발생한 공격과 관련이 있는 것으로 나타났습니다. 프로젝트 측은 자금 흐름을 모니터링하고 여러 관련 지갑 주소를 식별했으며, 관련 정보는 중앙화 거래소에 제출되었습니다. zkLend는 다음 주에 자금 회수 및 해제 계획을 발표할 예정이며, 보안 팀은 사후 분석 보고서를 준비하고 있습니다.이전 소식에 따르면, zkLend는 해커 공격을 받았으며, 팀은 ZEND 토큰 배포자 계정을 통해 공지를 발표하고 해커가 10%의 자금을 화이트햇 보상으로 유지할 수 있도록 제안했습니다.

ChainCatcher 메시지, 느린 안개 창립자 유선이 X에 게시한 글에서 zkLend를 공격한 해커와 2023년 7월 EraLend를 공격한 해커가 동일하다고 확인했다고 전했다.