2024 年 2 月 21 日晚，世界第二大虚拟货币交易所 Bybit被黑客盗走了 40 万个以太坊，总价是 14.6 亿美元，这是人类历史上最大的金融盗窃案。

一位名为 Zach XBT 的区块链侦探，在日常关注虚拟货币资金动态时，敏锐地察觉到了异常。他发现 Bybit 的一个钱包，正源源不断地向 40 多个不知名的钱包大量输送资金。在正常的交易往来中，钱包的归属通常是明确可知的，但这些接收资金的钱包地址却毫无头绪，

他立刻通过推特发出预警，怀疑 Bybit 可能遭遇了黑客盗窃。随后，又有几位经验丰富的侦探也纷纷证实，这些资金的流向确实存在重大问题，这无疑进一步坐实了 Bybit 被盗的可能性。

紧接着，一家在数据分析领域极具权威性的公司迅速行动起来，凭借专业的技术和手段，将资金的流向清晰地绘制出来。从 Bybit 的钱包到那 40 个神秘账户的资金转移路径一目了然，这种异常的资金流动，显然不是正常交易。

Bybit 的 CEO 周本，在得知这一消息后，迅速通过社交媒体发声。他证实黑客控制了公司的以太网钱包，并将 40 万个以太坊转了出去。事发当时，周本正在新加坡，他在发布推文后，立即开启直播，直面公众。他在直播中坦诚地告知用户和合作伙伴，此次被盗的只是其中一个钱包，公司的冷钱包整体是安全的，并且向大家保证，所有客户的资金都不会受到影响。他解释称，Bybit 一直以来都对用户资金进行 1:1 备份，即使出现用户集中挤兑的情况，也完全能够应对。

尽管周本做出了这样的承诺，事件发生后，还是有不少用户出于担忧开始申请取钱。令人意外的是，Bybit 平台并没有因大量用户取钱而陷入困境，用户的取款需求都能得到正常处理。周本在直播中不断强调用户资金的安全性，承诺会对此次被盗造成的损失进行赔付。事实上，在事件发生后的短短两天内，他就通过各种渠道筹集资金，将用户的损失全部补上。不过，据了解，这笔赔付金额几乎相当于 Bybit 一年的营业额。

然而，即便 Bybit 采取了积极的应对措施，也未能阻止以太坊价格的下跌。事发前，以太坊的价格约为 2700 多美元一个，而事发后，价格急剧下跌，一度跌到 2300 多美元，跌幅将近 15%。此次事件的影响远不止于此，整个加密货币市场都受到了强烈冲击。据 FX street 报道，在事发的第二天，全球加密货币市场上，10 万以上的用户爆仓，造成的经济损失超过 750 亿美元，远远超过了 Bybit 被盗的 14.6 亿美元。而盗走 40 万个以太坊的黑客，也因此成为个人拥有以太坊数量最多的人。

在这起盗窃案发生之前，拥有以太坊数量较多的有两人，一位是以太坊的联合创始人维塔利克・布特利，他年仅 31 岁，是一位天才，不仅编程技术高超，还精通十几种语言，以太坊便是他的杰作，目前他拥有约 24 万个以太坊；另一位是爱沙尼亚 LHV 银行的创始人和董事长雷恩・洛默斯，他在 2014 年参与了以太坊的首次代币发行，以 75000 美元的价格购买了 25 万个以太坊，如今这些以太坊市值已达数亿美元。但遗憾的是，他忘记了钱包密码，虽拥有大量以太坊，却无法实际控制。因此，在 Bybit 被盗事件发生后，拥有以太坊最多的就变成了黑客和维塔利克・布特利。

在虚拟货币的存储体系里，冷钱包是保障资金安全的重要防线。Bybit 的资金存储方式，也是将大部分资金存放在冷钱包中，热钱包则用于日常交易。冷钱包最大的特点就是不接入网络，这使得它在正常情况下极其安全，而 Bybit 使用的多签冷钱包更是为资金安全加上了多重保险。所谓多签冷钱包，就是要打开这个钱包，必须有三个人依次签名确认，只有三把 “钥匙” 集齐，才能成功取出里面的资金。

按照 Bybit 的规定，每两三周会进行一次从冷钱包取钱的操作流程。取钱时，首先由第一个人发起申请，在确认取款金额等信息无误后签名，随后将相关信息传递给第二个人。第二个人仔细检查钱数、收款账户等内容，确认没有问题后进行签名。最后，由 CEO 周本进行最终确认并签名，只有当这三人都完成签名，冷钱包才会打开，指定金额的资金就会转入公司的热钱包。

事发当天，一切看似都在按部就班地进行着。第一个人如同往常一样发起取款流程，他在自己的电脑上打开取款界面，仔细核对账户信息、取款金额等内容，一切都显示正常，他没有丝毫怀疑，便顺利签了名。但他不知道的是，自己打开的这个银行账户界面竟然是假的。这个精心伪造的界面，是黑客经过精心策划和准备的。界面上显示的所有信息，包括账户、金额等，都与真实情况一模一样，唯一不同的是，资金的接收地址早已被黑客篡改，变成了他们自己的地址。

完成第一步后，黑客拿到了第一个签名，相当于获取了一把至关重要的 “钥匙”。他们将这个看似正常的申请信息传递给第二个人。第二个人在收到信息后，同样进行了认真的检查，由于界面看起来毫无破绽，他也没有发现任何异常，便放心地签了名。就这样，黑客又成功获取了第二把 “钥匙”。

最后，轮到周本进行确认。周本一直非常重视资金安全，为了确保交易安全，他在签名时使用了一个实体硬件设备，上面有一个屏幕，会显示关键的交易信息。然而，虚拟货币的账户不记名特性，却在这里埋下了隐患。与传统银行账户不同，虚拟货币账户只有一串长达几十位、看似乱码的账号，没有对应的真实姓名作为确认依据。在这次事件中，尽管页面上显示的是将资金打给 Bybit 内部账户，但屏幕上实际显示的却是打给一个陌生账号，由于账号过于相似，周本没有察觉到异常，最终也签了名。至此，黑客成功集齐三把 “钥匙”，完全控制了冷钱包，将里面的巨额资金全部盗走。

回顾整个被盗过程，Bybit 这三位拥有签名权限的人，其实都有机会发现这笔交易存在问题。但黑客利用了他们的信任、操作习惯以及虚拟货币账户的特性，精心策划了这场盗窃。那么，这个如此精通技术、善于伪装的黑客组织究竟是谁呢？

最早察觉异常的区块链侦探Zach XBT，经过一系列细致入微的分析，率先提出此次黑客攻击极有可能是拉萨路集团所为。

在Bybit被盗案中，他们精准锁定了那个负责开启冷钱包取款界面的关键人物。为了获取此人的信任，他们展开了大量的背景调查，如同拼图一般，一点点拼凑出目标人物的生活全貌。从日常的作息规律，每天何时上班、何时下班，到家庭住址、个人喜好，甚至是性格上的细微缺陷，无一遗漏。掌握了这些信息后，他们便如同猎手潜伏在暗处，寻找着接近目标的最佳时机。

也许是一封看似平常的邮件，也许是一次看似偶然的社交接触，在目标毫无察觉的情况下，黑客程序便悄然潜入其电脑，静静潜伏等待时机。当取款流程启动，这个潜伏的程序瞬间激活，生成一个与真实界面毫无二致的假界面。上面的账号、数据等信息，与真实情况分毫不差，只是背后的程序早已被黑客掌控，将资金引向他们预设的目的地。

拉萨路集团的这种作案手法并非首次使用，在过往的诸多案件中，他们屡试不爽。他们深知，在虚拟货币交易体系中，人是最关键的环节，也是最容易被突破的防线。只要攻克了人这一环节，即使是看似坚不可摧的安全系统，也会如同纸糊的堡垒般不堪一击。

这个神秘的拉萨路集团，究竟有着怎样的来历？他们为何能如此熟练地运用社会工程学进行犯罪活动？而随着调查的进一步深入，拉萨路集团背后更为惊人的秘密和一系列令人咋舌的过往罪行，也逐渐浮出水面。

拉萨路集团最显著的技术特点之一，便是对社会工程学的大量运用。他们的攻击手段绝非单一维度，而是多维度、立体式的。从受害者的生活、工作到娱乐等各个角度，都被他们纳入攻击策略的考量范围。他们会先锁定目标，通过长时间的观察和深入的背景调查，精准把握目标人物的性格特点、兴趣爱好、工作环境以及生活习惯等信息。例如，在针对日本DMMBitcoin公司的攻击中，他们在LinkedIn上发现了该公司的技术负责人，此人因技术精湛，常在平台上分享自己的简历和文章。拉萨路集团成员便借此机会，以“赏识其才华、高薪聘请”为由与他取得联系。在日常交流中，他们以“帮忙查看代码”为诱饵，成功将黑客程序植入其电脑。由于该技术负责人对公司交易系统拥有控制权，拉萨路集团就这样轻松获取了DMMBitcoin交易所的控制权，盗走4500个比特币，直接导致这家加密货币交易所倒闭。这一系列操作，充分展示了他们如何利用人性的弱点，精心布局，实现精准打击。

除了社会工程学，拉萨路集团还善于利用零日漏洞。所谓零日漏洞，是指那些尚未被发现的软件或系统漏洞。在正常情况下，这些未被察觉的地方被认为是安全的，大多数人会将防护重点放在已知的风险点上。然而，拉萨路集团却如同在黑暗中寻找光亮的幽灵，总能在这些看似安全的地方挖掘出漏洞，发动出其不意的攻击。他们利用这些零日漏洞，突破各种严密的安全防护体系，实施盗窃行为，让受害者防不胜防。

此外，拉萨路集团还具备极强的反侦察能力。在发起攻击时，他们会巧妙地释放各种“烟雾弹”，制造出多个看似可疑的攻击点，让受害者和安全机构难以判断其真正的目标。当他们完成犯罪行为准备撤离时，又会采取一系列手段干扰追踪，让调查人员难以锁定他们的行踪。正是凭借这种强大的反侦察能力，拉萨路集团得以在多次作案后逍遥法外，其真实规模和组织架构至今仍是一个谜。人们只能推测他们与朝鲜政府存在关联，但却无法获取确凿的证据。

早在2007年左右，拉萨路集团便悄然出现在网络世界。起初，他们的活动主要针对韩国，发动了一系列网络攻击。当时，他们的手段相对简单直接，通过大量访问韩国的服务器，使其瘫痪。2014年，拉萨路集团策划了一场震惊世界的攻击行动，将矛头指向了索尼影业。当年，索尼影业计划推出一部喜剧片《采访》，影片情节涉及朝鲜领导人被暗杀。这一剧情激怒了拉萨路集团，他们决定展开报复。该集团利用社会工程学手段，诱骗索尼影业的员工在不知情的情况下下载恶意软件。这些恶意软件潜伏在索尼的服务器中，如同隐藏在暗处的间谍，默默收集着各种隐私资料。当资料收集完成后，拉萨路集团露出了真面目，他们向索尼影业坦白，手中掌握了大量公司内部资料，并要求索尼撤档《采访》，否则将公开这些隐私信息。索尼影业无奈之下，只得宣布撤档。然而，即便索尼影业做出了妥协，拉萨路集团依旧食言，将获取的内部资料公开。这一事件让索尼影业损失惨重，不仅声誉受损，还遭受了高达上千万美元的经济损失。而拉萨路集团也凭借此次攻击，在全球范围内声名大噪，其高超的技术和不择手段的行事风格，引起了各国的高度关注。此后，美国政府将此次攻击定性为朝鲜的国家行为，并对朝鲜实施了一系列制裁。

经此一役，拉萨路集团愈发猖獗，其活动逐渐分为两支，一支专注于间谍和政治相关活动，盗取其他国家的重要资料，以实现某些政治目的；另一支则在金融领域兴风作浪，成为众多金融机构和虚拟货币从业者的噩梦。

在金融犯罪这条道路上，拉萨路集团犯下了多起令人发指的盗窃案。2015年，他们将黑手伸向了厄瓜多尔的奥斯特勒银行，成功盗走1200万美元；同年，越南的先锋银行也未能幸免，被他们盗取了100万美元。2016年，孟加拉国中央银行遭遇重创，拉萨路集团入侵其系统，盗走8100万美元。2017年，他们的攻击手段更加多样，不仅入侵波兰金融监察机构实施水坑攻击——篡改机构网页，盗取访问者信息，还两次攻击韩国的Youbit交易所。Youbit交易所第一次遭受攻击后，努力修复漏洞，但很快又遭到第二次攻击，最终不堪重负，直接倒闭。

近年来，随着虚拟货币市场的兴起，拉萨路集团又将犯罪目标转向了这个新兴领域。2022年，他们对区块链游戏Axie Infinity发动攻击。Axie Infinity运营在区块链上，游戏内的物品和代币可进行交易，游戏网络与以太坊网络之间的“Ronnie桥”是交易的关键通道，每天都有大量现金交易在此发生。“Ronnie桥”虽有5个电子守卫负责验证交易，但拉萨路集团先设法搞到一个电子守卫的钥匙，随后伪装成电子守卫，混入交易验证环节。由于无人实时监控，6天后这起盗窃事件才被发现，在此期间，所有交易均被他们盗走，共计17万个以太坊及一些其他币种，总价值约6.2亿美元。

这些过往罪行，仅仅是拉萨路集团累累恶行的一部分。他们凭借着高超的技术、狡猾的手段和无畏的胆量，在网络犯罪的道路上越走越远，给全球的金融安全和网络稳定带来了巨大的挑战。

在Bybit被盗案发生之前，2003年伊拉克中央银行被盗事件曾占据着金融盗窃案的“头条”。当时，正值美国联合英国、澳大利亚入侵伊拉克之际。3月18日，萨达姆的儿子拿着一张据称是萨达姆亲笔书写的纸条，要求从中央银行调用10亿美金。随后，这笔巨款被装上三辆大卡车运走。然而，美国军队迅速介入，萨达姆的儿子在冲突中被打死，萨达姆也被抓获。但那10亿美金却如同人间蒸发一般，消失得无影无踪。这起案件因其涉及金额巨大、背景复杂，被定义为“世纪大劫案”，还被吉尼斯世界纪录认证为“有史以来最大的金库劫案”。多年来，无数调查人员试图探寻这笔巨款的下落，却始终一无所获，它也成为了金融史上一个难以解开的谜团。

而如今的Bybit被盗案，以14.6亿美元的涉案金额超越了伊拉克中央银行被盗案，成为了人类历史上最大的单笔金融盗窃案。与伊拉克那起案件不同，Bybit被盗案发生在虚拟货币领域，其犯罪手段依托于复杂的网络技术和新兴的加密货币交易体系。黑客通过精心策划，利用虚拟货币钱包的漏洞和社会工程学手段，成功盗走巨额资产。虽然两者作案手法大相径庭，但都给相关方带来了毁灭性的打击。伊拉克中央银行被盗案使得伊拉克的金融体系在战争期间雪上加霜，而Bybit被盗案不仅让Bybit交易所遭受重创，还引发了整个加密货币市场的剧烈动荡，以太坊价格暴跌，大量用户爆仓，造成的经济损失远远超过了被盗金额本身。