北韓駭客再出手！Bybit 駭案揭示加密資安漏洞與監管挑戰

近期，加密貨幣交易所 Bybit 遭到駭客攻擊，損失高達 1.4 億美元（約 500,000 枚 ETH），再度將全球焦點拉回到加密資安與監管缺口的嚴峻議題。本次攻擊被歸咎於臭名昭著的北韓駭客組織 Lazarus Group，根據 Bybit 執行長 Ben Zhou 公布的調查報告，這批遭竊資金中，約 27.59% 已「消失」，難以追蹤。

駭客手法層層堆疊，資金追蹤變得困難

根據報告，Lazarus Group 攻陷 Bybit 的冷錢包控制權後，將 500,000 ETH 迅速轉移至匿名地址，隨後透過 Wasabi、Tornado Cash、Railgun 等混幣器（Mixers）進行資金洗白，再進一步經由 Thorchain、eXch、LiFi 等跨鏈協議，將資金轉置於其他區塊鏈上，最後進入 P2P 與 OTC 平台，進行更進一步的資金換手與去中心化交易，使得大部分資金難以追蹤。

其中，超過 432,000 ETH（約 84.45%）已透過 Thorchain 轉換為 Bitcoin，並拆分至 35,772 個錢包中。這種分散化與混淆技術讓執法單位與鏈上分析工具面臨嚴峻挑戰。

宏觀經濟下的資安與監管挑戰

在高通膨、高利率的全球經濟環境下，加密資產仍被部分投資者視為避險或高報酬工具。然而，當前的監管政策未能跟上市場發展速度，特別是在跨國駭客活動與區塊鏈資金流動性方面的漏洞，為駭客提供了可乘之機。

例如，美國雖然對 Tornado Cash 等混幣器實施制裁，但這些工具仍可透過去中心化平台或開源程式碼繼續運作，難以全面封鎖。此外，由於多數跨鏈橋協議缺乏標準化的資安機制，成為駭客轉移資金的首選路徑。

法規空白與國際合作的迫切需求

目前多數國家針對加密貨幣的法規仍處於「補破網」階段。即便如美國 SEC（證券交易委員會）與 FINCEN（金融犯罪執法網）已針對特定平台進行執法行動，但對於跨鏈混幣、P2P 交易與匿名錢包的規範仍十分模糊。

這次事件也突顯了國際合作的必要性。Lazarus Group 長年以來都被認為與北韓政權資金來源有關，從之前的 Sony Pictures 攻擊、WannaCry 勒索病毒到 2022 年 Axie Infinity 的 Ronin 桥事件，皆有其身影。若無跨國監管與情資共享，加密資產將持續成為洗錢與非法資金流動的溫床。

風險與投資人應注意事項

對一般投資人而言，這起事件提醒我們即使是知名交易所，也難以完全杜絕駭客風險。以下提供幾點建議：

• 避免長期將大額資金存放於交易所，應考慮自我保管（Self-custody）如硬體錢包。
• 選擇有透明安全審計紀錄的交易平台，並謹慎查驗平台的冷錢包與資安政策。
• 關注政府與監管機構對於加密資產的新政策與風險提示。

結語：未來的挑戰與機會

此次 Bybit 駭案不僅揭示了加密市場的技術脆弱性，也為監管機構敲響警鐘。在全球數位金融快速發展的背景下，如何在創新與安全之間取得平衡，將是下一階段的關鍵課題。

唯有透過法規制度的完善、資安技術的精進，以及國際間的合作，才能避免類似事件再度發生，並重建公眾對加密貨幣產業的信心。

文章來源:https://www.coindesk.com/markets/2025/04/21/over-usd380m-worth-of-crypto-stolen-during-bybit-s-usd1-4b-hack-has-gone-dark