臺灣加密貨幣交易所幣托 Bitpro 遭駭

2025 年 6 月 2 日，區塊鏈研究員 ZachXBT 在 Telegram 上發布的一則簡短貼文引發加密行業震動：臺灣加密貨幣交易所 BitoPro 多個鏈上的熱錢包出現可疑資金流出，總金額高達 1150 萬美元。

此時距離實際攻擊發生已近 3 周，該交易所僅以“系統維護”爲由暫停服務，對遭黑客攻擊一事只字未提。

事件時間線，從隱祕攻擊到公開披露

攻擊發生在 2025 年 5 月 8 日至 9 日之間。當時黑客利用交易所進行錢包系統升級與資產遷移的窗口期，針對其舊熱錢包發動了突襲。

多條公鏈均受波及：Tron、以太坊、Solana 和 Polygon 上的熱錢包資產被陸續轉出。黑客得手後迅速行動，資金通過去中心化交易所（DEX）以市價拋售變現，並轉入 Tornado Cash 混幣器，或通過 Thorchain 跨鏈至比特幣網路存入 Wasabi 錢包，試圖切斷資金追蹤路徑。

盡管用戶報告提現受阻，BitoPro 官方直到 6 月 2 日 ZachXBT 公開爆料後，才在 Telegram 發布聲明證實攻擊事件，聲稱“用戶資產無損失、平台儲備充足”。

隱匿三周的處理方式引發社群強烈質疑其透明度與危機管理能力。

攻擊手法剖析，一次經典的社會工程學入侵

6 月 19 日，BitoPro 公布第三方安全公司調查報告，確認攻擊者正是臭名昭著的朝鮮黑客組織 Lazarus Group。

攻擊路徑清晰展現其高度專業化的作案模式：

• 社工釣魚切入：黑客通過僞裝通信針對 BitoPro 員工進行釣魚，誘使其點擊惡意連結或文件。
• 惡意軟件滲透：成功植入的惡意軟件避開了交易所的防病毒系統、端點防護和雲端安全檢測。
• 潛伏觀察：黑客長期潛伏於受害員工電腦中，觀察操作流程，尤其鎖定掌握亞馬遜 AWS 資源控制權的雲端業務人員。
• 令牌劫持與繞過 MFA：竊取 AWS 會話令牌（Session Token），直接繞過多重身分驗證（MFA） 機制。
• 操控熱錢包主機：連接攻擊者 C2 服務器，將惡意指令注入負責熱錢包交易的主機，最終在 5 月 9 日凌晨 1 點模擬合法交易實施轉帳。

此手法與 Lazarus 過往攻擊全球銀行 SWIFT 系統及多家交易所的模式高度一致，凸顯其攻擊模板的成熟性。

幕後黑手，Lazarus Group 的陰影

Lazarus Group 並非初犯。該組織被普遍認爲是朝鮮政權支持的網路犯罪集團，長期以竊取加密貨幣資助其武器計劃爲目標。

其犯罪記錄令人觸目驚心：

• 2016 年利用 SWIFT 系統漏洞試圖竊取孟加拉央行 10 億美元（最終成功轉走 8100 萬美元）
• 2025 年 2 月攻擊交易所 ByBit，創紀錄盜取 15 億美元加密貨幣
• 持續針對全球加密貨幣交易所進行供應鏈攻擊、漏洞利用及復雜社工欺詐

安全專家指出，該組織擅長結合技術漏洞與人性弱點，BitoPro 事件再次印證了這一點。

交易所應對，亡羊補牢的舉措

事件曝光後，BitoPro 採取了一系列危機應對措施：

• 立即關閉熱錢包系統，切斷攻擊路徑
• 更換所有相關加密密鑰
• 隔離受感染系統並進行環境重建
• 委托第三方區塊鏈安全公司追蹤被盜資金

爲挽回信任，BitoPro 於 5 月 19 日主動向鏈上數據分析平台 Arkham 提交新熱錢包地址，更新流動性數據供公衆監督。

公司創始人鄭光泰強調“客戶資產無損失，損失由平台承擔”，並承諾提升錢包管理流程與監控等級。臺灣地區金融監督管理委員會也已介入，要求其強化資安並提交事件說明。

安全啓示，最脆弱的一環依然是“人”

BitoPro 事件雖損失金額遠小於 ByBit 的 15 億美元天量失竊案，但其揭示的行業漏洞具有普遍性：

• 維護期成爲高危窗口：系統升級或資產遷移時，風控機制易出現臨時性盲區。
• 技術防線難抵社工突破：再完善的防火牆、MFA 機制，也可能因一名員工點擊惡意連結而全面失守。
• 透明度危機加劇信任崩塌：延遲披露與溝通模糊，往往比事件本身更損害用戶信心。

“安全系統中最薄弱的地方永遠是人”，這一結論在安全報告中被反復驗證。

結語：防御進化與永不停止的攻防戰

拉撒路集團的攻擊是全球加密貨幣生態持續面臨的系統性威脅。從孟加拉央行、ByBit 再到 BitoPro，其攻擊手法不斷演化卻核心不變：利用人性弱點突破技術屏障。

BitoPro 承擔了 1150 萬美元損失並升級系統，但更大的挑戰在於：交易所如何建立“防社工”的內控文化，並在遭遇入侵時實現快速透明響應。

在區塊鏈的世界，信任是底層貨幣，而每一次黑客事件都在考驗它的真正儲備是否充足。