Beosin 安全团队对 Bybit 交易所黑客攻击事件的被盗资金展开了深入追踪与分析。研究发现，其中一个被盗资金沉淀地址 0x36ed3c0213565530c35115d93a80f9c04d94e4cb，于 UTC 时间 2025 年 2 月 22 日 06:28:23，将 5000 ETH 转移至拆分地址 0x4571bd67d14280e40bf3910bd39fbf60834f900a。随后，资金以数分钟一次的频率被拆分为数十至数百 ETH 不等的金额，并进一步转移至多个地址。值得注意的是，部分资金在多次转账后尝试通过 Chainflip 跨链至 BTC 链地址 bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq，显示出黑客尝试通过跨链等操作进一步隐匿资金流向的企图。 此外，UTC 时间 2025 年 2 月 22 日 07:44:47，拆分地址将 56.68 ETH 转移至黑地址 0x33d057af74779925c4b2e720a820387cb89f8f65。该地址在 Beosin 标签库中被标记为“黑客：Phemex Hacker”，而“Phemex 交易所 8500 万美元被盗事件”正是知名黑客组织 Lazarus Group 所为。这一关键发现进一步印证了我们此前基于攻击模式与 WazirX 事件相似性所做出的推论，即 Bybit 交易所黑客攻击事件极有可能与 Lazarus Group 有关。 值得一提的是，在 Phemex 事件中，部分被盗资金曾被转入 Tornado Cash 等混币器以掩盖其流向。针对 Bybit 事件，我们已做好充分准备，一旦相关资金进入 Tornado.cash 混币器，Beosin 将立即启动资金穿透分析。专项工作组已配备最新版本的 Tornado Cash 穿透算法，并有多位在类似案件中成功完成资金穿透的专业分析师加入，确保能够高效追踪资金流向，为后续行动提供有力支持。目前，Beosin 安全团队正在配合 Bybit 安全团队进行资金追踪。