台湾加密货币交易所币托 Bitpro 遭朝鲜黑客攻击

2025 年 6 月 2 日，区块链研究员 ZachXBT 在 Telegram 上发布的一则简短贴文引发加密行业震动：台湾加密货币交易所 BitoPro 多个链上的热钱包出现可疑资金流出，总金额高达 1150 万美元。

此时距离实际攻击发生已近 3 周，该交易所仅以“系统维护”为由暂停服务，对遭黑客攻击一事只字未提。

事件时间线，从隐秘攻击到公开披露

攻击发生在 2025 年 5 月 8 日至 9 日之间。当时黑客利用交易所进行钱包系统升级与资产迁移的窗口期，针对其旧热钱包发动了突袭。

多条公链均受波及：Tron、以太坊、Solana 和 Polygon 上的热钱包资产被陆续转出。黑客得手后迅速行动，资金通过去中心化交易所（DEX）以市价抛售变现，并转入 Tornado Cash 混币器，或通过 Thorchain 跨链至比特币网络存入 Wasabi 钱包，试图切断资金追踪路径。

尽管用户报告提现受阻，BitoPro 官方直到 6 月 2 日 ZachXBT 公开爆料后，才在 Telegram 发布声明证实攻击事件，声称“用户资产无损失、平台储备充足”。

隐匿三周的处理方式引发社群强烈质疑其透明度与危机管理能力。

攻击手法剖析，一次经典的社会工程学入侵

6 月 19 日，BitoPro 公布第三方安全公司调查报告，确认攻击者正是臭名昭著的朝鲜黑客组织 Lazarus Group。

攻击路径清晰展现其高度专业化的作案模式：

• 社工钓鱼切入：黑客通过伪装通信针对 BitoPro 员工进行钓鱼，诱使其点击恶意链接或文件。
• 恶意软件渗透：成功植入的恶意软件避开了交易所的防病毒系统、端点防护和云端安全检测。
• 潜伏观察：黑客长期潜伏于受害员工电脑中，观察操作流程，尤其锁定掌握亚马逊 AWS 资源控制权的云端业务人员。
• 令牌劫持与绕过 MFA：窃取 AWS 会话令牌（Session Token），直接绕过多重身份验证（MFA） 机制。
• 操控热钱包主机：连接攻击者 C2 服务器，将恶意指令注入负责热钱包交易的主机，最终在 5 月 9 日凌晨 1 点模拟合法交易实施转账。

此手法与 Lazarus 过往攻击全球银行 SWIFT 系统及多家交易所的模式高度一致，凸显其攻击模板的成熟性。

幕后黑手，Lazarus Group 的阴影

Lazarus Group 并非初犯。该组织被普遍认为是朝鲜政权支持的网络犯罪集团，长期以窃取加密货币资助其武器计划为目标。

其犯罪记录令人触目惊心：

• 2016 年利用 SWIFT 系统漏洞试图窃取孟加拉央行 10 亿美元（最终成功转走 8100 万美元）
• 2025 年 2 月攻击交易所 ByBit，创纪录盗取 15 亿美元加密货币
• 持续针对全球加密货币交易所进行供应链攻击、漏洞利用及复杂社工欺诈

安全专家指出，该组织擅长结合技术漏洞与人性弱点，BitoPro 事件再次印证了这一点。

交易所应对，亡羊补牢的举措

事件曝光后，BitoPro 采取了一系列危机应对措施：

• 立即关闭热钱包系统，切断攻击路径
• 更换所有相关加密密钥
• 隔离受感染系统并进行环境重建
• 委托第三方区块链安全公司追踪被盗资金

为挽回信任，BitoPro 于 5 月 19 日主动向链上数据分析平台 Arkham 提交新热钱包地址，更新流动性数据供公众监督。

公司创始人郑光泰强调“客户资产无损失，损失由平台承担”，并承诺提升钱包管理流程与监控等级。台湾地区金融监督管理委员会也已介入，要求其强化资安并提交事件说明。

安全启示，最脆弱的一环依然是“人”

BitoPro 事件虽损失金额远小于 ByBit 的 15 亿美元天量失窃案，但其揭示的行业漏洞具有普遍性：

• 维护期成为高危窗口：系统升级或资产迁移时，风控机制易出现临时性盲区。
• 技术防线难抵社工突破：再完善的防火墙、MFA 机制，也可能因一名员工点击恶意链接而全面失守。
• 透明度危机加剧信任崩塌：延迟披露与沟通模糊，往往比事件本身更损害用户信心。

“安全系统中最薄弱的地方永远是人”，这一结论在安全报告中被反复验证。

结语：防御进化与永不停止的攻防战

拉撒路集团的攻击是全球加密货币生态持续面临的系统性威胁。从孟加拉央行、ByBit 再到 BitoPro，其攻击手法不断演化却核心不变：利用人性弱点突破技术屏障。

BitoPro 承担了 1150 万美元损失并升级系统，但更大的挑战在于：交易所如何建立“防社工”的内控文化，并在遭遇入侵时实现快速透明响应。

在区块链的世界，信任是底层货币，而每一次黑客事件都在考验它的真正储备是否充足。