文/猫笔刀
今晚吃大瓜了。昨晚就在我发文章的那一阵,国外粗大事了,bybit 交易所遭受黑客攻击,损失了价值 14 亿美元的资产,这些资产主要是 ETH,也就是我常说的二饼,市值仅次于 BTC,也是唯二在美股有 ETF 的区块链资产。
14 亿刀,换算过来就是 100 亿人民币,这是普通人难以想象的天文数字,100 亿的富豪在中国大概是 500-550 名的排次,如果你还没感觉,那我告诉你 a 股将近 70% 的上市公司市值不到 100 亿。
那么大一笔钱,一个晚上被偷走了。
bybit 是全球大概 top5-7 的虚拟币交易所,根据公开资产证明它们平台的资产大概是 160 亿美元,这次被偷资产占比 8.7%。事情曝光后大量恐慌用户提取资产,一天内提走了 30 亿 + 美元,bybit 紧急从同业那里拆借了过桥贷款,才勉强扛住挤兑潮。
我看了一些分析,bybit 之前每年利润大概就是 10-15 亿美元,静态看的话差不多就是一年白干,但注意这是事发之前,被黑客攻击后平台安全形象大跌,大量资产撤离,盈利能力必然大幅下跌,这次 14 亿的窟窿可能要填好几年。
……
看标题你们已经提前知道黑客是谁了,经过链上数据追踪确定本次行动是朝鲜黑客组织 Lazarus Group 做的。很多人听说是朝鲜黑客通常会吃惊,因为那个国家普通老百姓连互联网都接触不到,竟然还有黑客?
有的,而且非常厉害,都是朝鲜政府专门培养组织的,其它国家的黑客为了隐蔽行踪大都是独行侠,只有朝鲜的黑客是团队行动,背靠组织,人多力量大。常年在互联网上攻击各大交易所、区块链协议,已经成功很多次,加起来偷了几十亿美元。
这次要恭喜将军,昨晚这把发大财了,我好奇去搜了一下朝鲜的外贸数据。一年进出口加起来也就不到 30 亿美元,中朝贸易占了 99%,基本没别的国家和他们做生意。
这 30 亿里朝鲜向中国出口 4-5 亿美元,你们多半想不到,出口商品最主要的是头发,卖到中国来进行加工,再做成假发卖到欧美,每年创汇将近 2 亿美元。剩下一半主要就是矿产原料和高丽参之类的。
每年朝鲜要向中国进口 24-25 亿美元,减一下就算出来每年逆差将近 20 亿美元,是不是好奇逆差的 20 亿美元外汇哪来的?
主要是外派劳工,朝鲜每年向中国、俄罗斯、非洲输送将近 5 万劳工,他们在外面打工挣的钱,70% 要上交政府作为忠诚金,这部分大概是 15-20 亿美元每年。
写到这我想起在上海的时候去过高丽宫饭店,想起那些热情敬业表演歌舞节目的朝鲜妹妹们,她们大都来自朝鲜国内政府官员家庭,来中国打工的收入就算到手只有 30%,相比朝鲜国内应该也很富足了。
除了外派劳工,这几年非常活跃的区块链黑客也成了朝鲜重要的创汇手段。我刻意详写了朝鲜的外贸数据,就是想让读者能够很深刻的感受到,14 亿美元对隔壁国家意味着什么,差不多相当于他们 3-4 年出口总收入。
所以我前面才说恭喜将军发大财了,抛开对错是非,主导这次行动的朝鲜黑客堪称他们的民族英雄,一个人(也可能几个人)就顶上了千千万姐妹们积蓄的长发,以及数万同胞海外打工的艰辛。
……
再说回这次黑客事件,到底怎么被偷的?
现在交易所通常都会用冷钱包和多签钱包保存大宗资产,冷钱包是离线脱网的,多签钱包则需要多个不同的人同时签署才能转账,这两种钱包都不是纯粹意义上的黑客可以攻陷的,所以事发后我很好奇朝鲜人是怎么做到的。
从目前透露的信息看,是多签钱包的其中一个授权人的电脑被黑了,伪造了一个假的前端 ui,表面看是正常转账,但底下内容是授权恶意合约。第一个人被骗了不自知,发出去的命令,后面两个人也没仔细检查,最终 3 个人都确认同意,玩完。
如果你们没看懂,我再举个通俗的场景比喻:
公司财务部为了安全,每次转账都要求三个会计审批付款,骗子骗取了其中一个会计的信任,伪造了完全相同的付款单(金额、收款方都正确),但实际付款单背面用极小的字写着 “同时授权修改公司账户权限”。三个会计只核对了正面信息就签字,导致账户授权骗子接管。
这里面最核心的步骤是朝鲜黑客要黑掉第一个签署人的电脑,我不知道是怎么做到的,如果没有内鬼配合,很难想象纯靠互联网就能定位攻击。内鬼有可能是潜伏入职的朝鲜码农,也有可能是被收买的工作人员。这几年区块链行业招募东亚面孔的人都很谨慎,因为纯靠长相很难精确区分中、日、韩、朝。
……
再讲讲后续,14 亿市值的 eth 被偷后已经分转到 51 个不同的匿名地址,如果是普通黑客,那就可以尝试谈判,给 10-20% 赏金双方和解。但是朝鲜黑客从来不和解,他们都是为国家和将军做事,没有谈判的权利和空间。
但这次 14 亿美元的资产规模实在太大,大到很难在公链上不留痕迹的洗干净。tornado(混币器)的规模也才 5 亿美元,你扔 14 亿进去,就好比让姚明去幼儿园藏起来。
目前双方是僵持住了,bybit 希望行业内更多人协助跟踪和围剿这笔巨款,阻止对方变现,朝鲜那边倒也不着急,他们短期内洗不了,但是可以放长线慢慢洗。
这 14 亿的 eth 不能直接卖成美元稳定币,那样会被追踪冻结的,他们能操作的具体路径大概是分批把 eth 换成 btc,然后再化整为零,弄成成千上万的小账户,从一些亚洲的交易平台上卖出。这需要大量伪造 kyc 的账户,就算有朝鲜政府的支持也很难搞,所以洗钱的进度会很慢很慢,可能要 5-10 年。
说实话每次吃到黑客的瓜都颇为感慨,这些人一次攻击得手就是几千万几个亿几十亿,难以想象这是什么样的体验。我只体验过被黑的滋味图片,一次资产授权漏洞被偷走 4 万美元,当时太沮丧了,还有就是深深的无力感。
之后我关注了那个偷我钱的黑客地址,看着他又陆陆续续从别人钱包里掏走了将近 1200 万美元,那种感觉… 真的… 难以形容。
今晚就这些吧。
没有评论:
发表评论