币托遭骇千万美元事件完成深入调查，背后涉北韩「拉撒路集团」

台湾头部加密货币交易所币托（BitoPro）今（19）日就其平台 5 月时发生的被盗事件再次作声明，指该公司内部资安小组与第三方专业资安公司已完成近一个月的深入调查，依据 6 月 11 日出具之鉴识报告，初步排除内部人员涉入，却牵出背后涉北韩骇客组织「拉撒路集团（Lazarus Group）」。

币托在 6 月初被知名链上侦探 ZachXBT 揭露遭骇，涉款高达 1,150 万美元。

币托在 6 月 2 日发声明承认事件，并指其平台近期在进行钱包系统升级与资产移转作业期间，旧热钱包在调度资金过程中遭遇骇客攻击。事件发生当下，币托已立即启动紧急应变机制，并于第一时间将平台资产安全移转至新钱包及阻断骇客行为，并同步委托第三方专业资安公司全面协助调查与追踪相关线索。

据币托在 19 日最新的声明中提到，「本次资安事件之攻击手法，与过往多起国际重大案件模式相似，包含全球多间银行 SWIFT 系统非法转帐案及国际大型加密货币交易所资产盗窃事件，皆为北韩骇客组织『拉撒路集团』（Lazarus Group）所为」。

骇客透过对币托一名负责云端作业的同仁进行社交工程攻击，成功植入木马程式，绕过端点防护、防毒及云端安全侦测等防护系统，并潜伏于该工程同仁电脑中，观察其日常操作行为，以规避资安人员的例行监控。骇客劫持 AWS Session Token 绕过多重身份验证 (MFA)，在 AWS 环境中透过 C2 伺服器发送指令，将恶意脚本悄悄移转至热钱包主机，伺机发动攻击。

骇客经过长时间观察，锁定平台进行钱包系统升级与资产移转作业期间，模拟日常操作行为发动攻击。

5 月 9 日凌晨 1 时左右，骇客启动恶意脚本，模拟合法交易，自热钱包非法转移加密货币。直到钱包水位监控系统侦测到异常并发出警示后，资安团队即刻启动应变机制，包含紧急关闭热钱包系统、更换所有关联金钥、隔离并重建受影响系统与终端设备、扩大监控并持续追踪异常行为，进一步阻断骇客行为。

币托表示，「目前事件已移交由刑事单位侦办与鉴识中」，并重申其平台于事件发生后已第一时间重新检查，重建钱包系统，并于 5 月 19 日将热钱包地址主动提供给链上数据追踪平台 Arkham，以更新平台水位等相关数据；截至 6 月 19 日，该页面已更新部分钱包地址 (https://intel.arkm.com/explorer/entity/bitopro) ，用户可前往查阅。

币托强调，此次资安事件再次凸显网路攻击手法不断精进，这不仅是对虚拟资产平台的挑战，更是台湾金融、甚至各产业应重视的课题。

「我们深知资讯安全是一场永不停止的考验，未来平台将持续强化资安技术与管理流程，并积极交流经验，呼吁业界提高警觉，在变化快速的数位世界中，共同建筑安全且稳定的交易环境。」币托在声明中表示。