Bybit事件后续：如何共筑防火墙，防止被盗资金被「洗白」？

原文来源：Beosin

2025 年 2 月 21 日晚间，加密货币交易平台 Bybit 遭遇了一场规模巨大的黑客攻击，总资产价值超过 15 亿美元的逾 40 万 ETH 和 stETH 被转移至未知地址。这一事件不仅震惊了整个加密货币行业，也再次引发了关于反洗钱（AML）和去中心化金融平台安全性的深刻思考。

而就在今天，Beosin Trace 监测到 Infini 项目也遭受攻击，损失金额预估 5000 万美金，目前事件正在调查中。目前 Infini 黑客已将 4950 万枚 DAI 换成约 1.77 万枚 ETH ，并转移到新地址 0xfcc8a...6e49。

Bybit 事件中，随着黑客通过跨链兑换平台和 DeFi 协议洗钱，如何有效追踪和拦截这些非法资金成为了行业关注的焦点。

Bybit 事件回顾：黑客攻击与洗钱行为

北京时间 2 月 21 日晚间，Bybit 平台遭到黑客入侵，攻击者成功转移了价值超过 15 亿美元的 ETH 和 stETH。随后，黑客开始通过 Chainflip、THORChain、LiFi、DLN、eXch 等跨链兑换平台以及 DeFi 协议将被盗资产兑换成其他加密货币（如 BTC），试图通过复杂的资金流动路径掩盖其踪迹。

被盗超 14.4 亿美元，加密领域最大的安全事件——Bybit 事件全景链路追踪分析

尽管 Bybit 官方在事件发生后迅速采取行动，协同多方冻结了部分被盗资金（总计 4289 万美元），但黑客的资金转移速度极快，且通过多个地址和跨链协议进行洗钱，给追踪和拦截带来了巨大挑战。截至 2025 年 2 月 24 日，BeosinTrace 追踪到黑客仍在持续转移资产，资金流向 OKX DEX 以及 Thorchain:Router 等兑币跨链协议。

加密行业反洗钱的困境

黑客利用跨链兑换平台和 DeFi 协议的流动性，将资金分散到多个地址和区块链网络中，使得传统的黑名单机制和简单的资金追踪工具难以应对。以下是当前反洗钱领域面临的主要挑战：

1. 跨链转移的复杂性

黑客通过跨链兑换平台（如 THORChain、Chainflip 等）将被盗资产转移到其他区块链网络，增加了资金追踪的难度。跨链技术的匿名性和去中心化特性使得资金流动路径更加隐蔽，传统的反洗钱工具难以覆盖多链环境。

2. 地址分散与快速更换

黑客使用大量新地址进行资金转移，传统的黑名单机制无法及时更新，导致部分资金成功逃脱监控。此外，黑客可以通过脚本自动批量生成新地址，进一步增加了追踪的复杂性。

3. DeFi 协议的匿名性

DeFi 平台的匿名性和去中心化特性使得黑客能够轻松利用这些协议进行资金转移。例如，黑客可以通过去中心化交易所（DEX）的资金兑换为另外的币种并分散到多个地址，使得合规人员难以区分正常交易和非法交易。

4. 非 KYC 交易所的滥用

据 The Block 报道，无 KYC 中心化交易所 eXch 在 Bybit 事件中被指控协助黑客洗钱。尽管 eXch 否认了这一指控，但其 ETH 交易量在事件发生后出现了异常飙升，过去 24 小时内交易量从平时的 800 ETH 激增至 2 万 ETH。eXch 团队承认“Bybit 黑客攻击的一小部分资金最终进入了我们的地址”，但称此次转账是“一个孤立案例”。这一事件凸显了无 KYC 交易所在反洗钱措施方面的缺失。

如何构筑去中心化平台的防火墙

面对日益复杂的黑客攻击和洗钱行为，DeFi 平台需要更强大的工具来识别和拦截风险资金。KYT（Know Your Transaction）这类专为区块链行业设计的反洗钱和资金追踪工具，能够帮助平台有效应对 Bybit 事件中的类似挑战。以下是构筑 DeFi 平台防火墙的几项关键措施：

1. 自动化风险资金识别与追踪

在 Bybit 事件中，黑客通常利用跨链兑换平台和 DeFi 协议进行资金转移，这些平台的流动性池往往包含大量正常用户的资金。如果将所有相关平台都标记为风险，合规人员将面临大量误报，反而干扰了正常的反洗钱工作。KYT 工具能够自动识别这些地址的资金来源，并将其标记为高风险，从而帮助平台及时冻结相关资产。例如，Beosin KYT 通过智能算法和链上数据分析，能够实时追踪资金流向，识别出与黑客相关的地址和交易，确保风险资金无法逃脱监控。

2. 精准识别跨链和 DeFi 交易中的风险资金

黑客利用跨链兑换平台和 DeFi 协议的流动性池进行资金转移，使得合规人员难以区分正常交易和非法交易。传统的反洗钱工具往往无法精准识别这些复杂交易中的风险资金。KYT 工具通过智能算法，能够精准识别跨链和 DeFi 交易中的风险资金，而不会将流动性池中的正常资金误判为风险。例如，在 Bybit 事件中，黑客使用了 THORChain 和 OKX DEX 进行资金转移。Beosin KYT 能够自动穿透这些协议之前的资金来源，识别出与黑客相关的交易，而不会对正常用户的资金造成干扰。

Beosin KYT 产品截图

3. 高风险交易所与地址的标注与监控

在 Bybit 事件中，黑客通过多个地址和跨链协议进行资金转移，传统的黑名单机制无法及时更新，导致部分资金成功逃脱监控。Beosin KYT 已经根据本次事件的交易模式，标注了一些高风险交易所和地址。通过实时监控这些高风险地址，平台可以迅速采取行动，冻结相关资产，防止黑客进一步转移资金。

4. 协同防御：共享风险地址信息

黑客的资金转移路径通常涉及多个平台和协议，单一平台的反洗钱措施往往难以应对复杂的资金流动。呼吁链上去中心化协议项目方，以及链下交易所平台，通过一个专有的内部渠道共享黑客相关的地址信息。这种协同防御机制能够帮助平台及时封堵黑客的资金流动，冻结相关资产。例如，当 BeosinTrace 追踪到黑客地址0xfc926659dd8808f6e3e0a8d61b20b871f3fa6465开始转移资产时，相关平台可以立即冻结该地址的资金，防止其进一步流动。

写在最后

这些安全事件再次提醒我们，去中心化平台在安全性和反洗钱方面仍面临巨大挑战。黑客利用跨链兑换平台和 DeFi 协议进行资金转移，使得传统的黑名单机制和简单的资金追踪工具难以应对。反洗钱不仅是监管的要求，更是加密领域可持续发展的基石。只有通过技术创新和行业协作，我们才能真正实现“共筑防火墙”的目标，为全球用户提供更安全的数字资产服务。