穿透最大盗币案Bybit洗钱追踪迷雾！

Bybit被盗事件回顾

北京时间2025年2月21日晚间，加密货币交易平台Bybit的 ETH 冷钱包遭黑客攻击，被盗资产价值近15亿美元，成为加密货币历史上最大金额的盗窃案。

Bybit事件发生的第一时间，成都链安就对事件相关的攻击手法进行了深入分析（详情可戳）。事件发生后，成都链安也立即将事件相关的所有地址加入了链必追—虚拟货币案件智能研判平台（简称链必追）标签库并持续跟进事件的进展，尤其是对事件中被盗资金后续的洗钱手法进行了持续关注和研究。

通过链必追对被盗资金深入追踪与分析发现，本次事件中，黑客主要采用资金拆分、转移+跨链+混币清洗等多种手法结合的洗钱方式：

①首先，黑客将被盗资金不断拆分转移至黑客控制的多个其他地址；

②随后，黑客通过Chainflip、ChangeNow、Thorchain、LI.FI、DLN等兑币、跨链操作进一步转移、隐匿资金流向；

通过链必追【多地址研判】刻画的被盗资金转移、清洗路径

其中，Thorchain、MayaSwap等跨链平台成为Bybit被盗资金转移的主要渠道。据悉，黑客还在持续将被盗资产中的417348枚ETH跨链转换为BTC等其他币种，链必追已经追踪到BTC和其他链的跨链对手地址超过2000个。

③最后，黑客将兑换的BTC再通过混币器进一步模糊资金路径，洗白被盗资金。

黑客为什么选择Thorchain？

Bybit被盗事件中通过跨链进行资金转移的洗钱模式赚足了眼球，据传因为Bybit事件，Thorchain获得了59亿美元的交易量并赚取了550万美元的手续费！

黑客为什么会选择Thorchain？

Thorchain作为一个去中心化的跨链协议，支持不同区块链网络之间的资产交换。Thorchain之前主要基于ETH与BTC间的跨链，现扩展到BNB、LTC、ATOM等多链支持，用户可以在无KYC要求下直接将ETH、USDT 等资产兑换为 BTC。

展开全文

为什么黑客要将ETH兑换成BTC呢？

①特有的交易模式更有利于隐匿资金交易

BTC 链采用类似现金找零的UTXO（未花费交易输出）交易模式，使得资金去向难以追踪；

②缺乏专业的交易分析工具

BTC链缺乏Etherscan、BscScan这样的专业资金流向分析工具，主要依靠第三方工具进行分析，数据关联分析较为复杂；

③混币服务进一步隐匿资金去向

再加上，黑客可以通过比特币的混币工具CoinJoin、Wasabi Wallet等进一步模糊资金走向；

④BTC场外交易活跃

BTC 是 OTC 场外交易最活跃的虚拟货币，黑客可以快速通过灰色 OTC 商变现。

链必追率先支持Thorchain交易自动解析

目前，链必追—虚拟货币案件智能研判平台（简称链必追）已率先支持 Thorchain 跨链交易的自动解析，快速、高效、可视化追踪通过Thorchain 跨链的资金流向，刻画出通过Thorchain跨链前后完整的资金链路图，帮助研判人员轻松追踪跨链后的去向。下面以Bybit事件中黑客转移资金的一个地址为例进行展示：

0x14ad2acc7beeaf96bb14e8dc88b7510ac5985b31为黑客拆分资产，洗钱路径上的一个重要地址，从下图可见，黑客继续通过该地址，将资产通过Thorchain继续进行了跨链拆分，将ETH兑换成了BTC继续进行分散转移。

链必追自动穿透Thorchain 跨链交易

近年来，在虚拟货币洗钱中，跨链已成为不法分子洗钱的主要技术手段之一。跨链平台更高的匿名性和隐私保护，可以更好的隐藏资金的来源和去向，从而沦为洗钱犯罪的工具。

100+跨链交易自动解析支持

为了助力案件侦办人员突破跨链交易追踪的屏障、提升链上研判分析效率、降低跨链资金追踪难度、简化跨链资金分析流程、完整刻画涉案资金扭流转路径，成都链安加大对跨链交易机制及相关技术的研究，并已经在链必追中实现了对Thorchain、MayaSwap、CacaoSwap、SWFT Blockchain、Stargate Finance、Celer（cBridge）、Transit Swap等100+跨链平台的自动穿透解析。如果在链上资金分析中遇到跨链交易，都可通过链必追快速进行一键穿透。

BTC交易分析支持

从上文我们知道，基于BTC的UTXO（未花费交易输出）交易模式，相关交易的来源和去向很难追踪。为了方便案件侦办人员对涉案BTC的快速分析追踪，链必追的【比特币分析】功能，可轻松追踪比特币交易的来源和去向。

通过链必追【比特币分析】刻画比特币资金交易路径