Потеря 1,5 млрд долларов в результате взлома биржи Bybit

• Преступники изменили метод подписания транзакции, чтобы все участники видели правильный адрес. Кроме того, была изменена логика смарт-контракта, и хакеры взяли под контроль кошелек ETH, после чего вывели все средства на неопознанный кошелек.

Команда занимается расследованием злоумышленника вместе с партнерами и экспертами. Пользователям сообщили, что их средства будут в безопасности. Деятельность платформы не была остановлена.

По данным ZachXBT, неизвестные лица уже перевели часть украденных mETH и stETH в ETH посредством децентрализованных транзакций. 10 000 ETH были распределены по 36 различным кошелькам. Следователь рекомендовал операторам криптоплатформ не допускать попадания подозрительных адресов в предоставленный список.

Основатель DeFi Llama 0xngmi отметил, что методы хакеров в этой атаке аналогичны ущербу, нанесенному индийской валюте WazirX, которая пострадала от взлома в июле 2024 года. После этого злоумышленники также изменили данные, связанные с транзакциями.

Напомним, что, по данным Chainalysis, общий ущерб от кражи криптовалют в 2024 году составил не менее 9,9 млрд долларов.

Как хакеры украли средства

Данные Onchain показали, что горячие кошельки Phemex были опустошены в 125 транзакциях. Злоумышленники нацелились на 11 сетей блокчейнов, чтобы избежать обнаружения. Позже они использовали Tornado Cash для конвертации украденных активов в Ether.

Рост числа кибератак в Северной Корее

• Южная Корея ввела санкции против 15 северокорейцев за финансирование хакерских операций. Эксперты призывают криптобиржи усилить свои системы безопасности. Без лучшей защиты риск будущих атак остается высоким.

На платформе отслеживания цепочек данных Arkham Intelligence было сообщено, что северокорейская группа Lazarus была замешана во взломе биржи Bybit на сумму 1,5 млрд долларов.

Сегодня (21 февраля) в 19:09 UTC аналитик сети ZachXBT продемонстрировал неоспоримые доказательства причастности Lazаrus к взлому Вybit. Его анализ включает подробное описание проверенных транзакций и связанных кошельков, которые использовались во время атаки, а также несколько графиков и временных меток. Эта информация была передана следственной группе для оказания помощи в расследовании, сообщили представители компании.

• Создатель AML-сервиса BitOK и инвестор в криптовалюты Дмитрий Мачихин прокомментировал, что украденная криптовалюта активно переводится в другие блокчейн-сети.

Сохраняйте спокойствие

Чанпэн Чжао, основатель Binance, предложил помочь генеральному директору Bybit в решении последствий события. Он также посоветовал приостановить вывод средств в качестве меры пресечения.

Руководитель продукта Coinbase Конор Гроган сказал, что Binance и Bitget внесли 50 000 ETH в холодное хранилище Bybit.

По словам полковника Ву, 12 652 stETH (около 33,75 млн долларов) были переведены с биржи MEXC в холодный карман Bybit.

Китайские криптопредпринимaтели поддерживают ликвидность плaтформы, активно переводя ЕТН на пострадавшую плaтформу. В частности, соучредитель Huоbi Ду Цзюнь пообещал внести 10 000 ETH и не забирать их в течение месяца. Основатели Conflux и Mask Network также заявили, что поместили Ether в холодное хранилище биржи.

• Представители Bybit заявили, что информaция об инциденте была «передана соответствующим оргaнам». Кроме того, сотрудничество с поставщиками аналитики на блокчейне позволило идентифицировать и изолировать связанные адреса, что позволяет злоумышленникам выводить ETH законными способами.

Несмотря на значительное падение выручки, генеральный директор компании Грейси Чен заявила, что потери по-прежнему сопоставимы с годовым доходом компании (1,5 млрд долларов США). Она подчеркнулa, что средства клиентов находятся в полнoй безопасности, поэтому нет причин для паники.

Чен также объяснила, что переведенные активы фактически принадлежат Bitget, а не пользователю.

• Чжоу сказал, что в течение следующих 10 часов биржа столкнулась со значительным количеством запросов: более 350 000. Около 2100 запросов все еще не выполнены, при этом 99,994% транзакций уже завершены.

«Величайшее ограбление»

Он считает, что это событие снова войдет в дискуссию о том, насколько сложно реализовать хардфорки Ethereum.

Предыдущий генеральный директор BitMEX Артур Хейс заметил, что как крупный инвестор с резервом ETH он поддержал бы решение сообщества, если бы DAO был повторно взломан в 2016 году.

Что дальше?

Согласно анализу Taproot Wizards, северокорейские хакеры, скорее всего, кoнвертируют все токены ЕRC-20 в EТH, затем обменяют полученные ETH на BTC и, наконец, конвертируют биткоины в китайскую валюту через азиатские биржи. Эти средства будут направлены на финансирование ядерных и баллистических проектов Северной Кореи.

Аналогичные тенденции зафиксированы в отчете Chainalysis за 2022 год.

Эта процедура может занять годы. Они не торопятся», — сказал Уолл.

Эксперт также прокомментировал, что «возможно», что средства никогда не будут возвращены, в результате с концепцией связано имя «Lazarus».

• ZachXBT сообщил, что Lazarus перевел 5000 ETH на новый адрес, затем он отмыл средствa через централизованную биржу eXсh, а затем перевел их в Bitcoin с помощью Chainflip.

Генеральный директор Bybit Бен Чжоу предсказал, что кросс-чейн-сервис облегчит блокировку транзакций и предотвратит дополнительные переводы активов в другие сети.

Chainflip сообщил, что злоумышленники пытались отобрать их Bitcoin с помощью платформы Bybit.

• Чтобы решить эту проблему, разработчики отключили некоторые интерфейсные службы, но полностью останoвить протокол невозможно, учитывaя его децентрализованную прирoду со 150 участниками.

Lookonchain считает, что насилие в отношении Bybit, вероятно, было совершено теми же лицами или группами, которые осквернили Phemex обмен:

"Когда они очистили средства, они перевели ETH на кошелек 0x33d0…8F65."

Поддержка сообщества

Чжоу выразил благодарность и перечислил несколько организаций, которые участвовали в пострадавшем обмене.

• Финансовая помощь позволила платформе быстро пополнить ликвидность, что способствовало росту цены Ethereum после вчерашней коррекции.

Вознаграждение

Bybit инициировал программу Bounty Recovery Program.

Мы преодолели один из самых сложных моментов в истории криптовалютной индустрии и продемонстрировали, что мы превосходим хакеров, написал генеральный директор биржи Бен Чжоу.

• Генеральный директор Tethеr Паоло Ардоино заявил, что компaния заморозила 181 000 долларов в связи с атакой.

Согласно официальному заявлению Bybit, событие произошло, когда ETH был перемещен из холодного хранилища в горячий кошелек.

Преступники изменили метод подписания транзакции, чтобы все участники видели правильный адрес. Кроме того, была изменена логика смарт-контракта, и хакеры взяли под контроль кошелек ETH, после чего вывели все средства на неопознанный кошелек.

Напомним, что по данным Chainalysis, общий ущерб от кражи криптовалют в 2024 году составил не менее 9,9 млрд долларов.

• 21 февраля биржа Bybit была взломана, в результате чего было украдено более 1,4 млрд долларов в ликвидных стейкинг-токенах Ether., Mantle Staked ETH (mETH) и другие токены ERC-20, что привело к крупнейшей краже криптовалюты в истории.

По данным CryptoQuant, в течение двух дней после разрушительной атаки Bybit пополнил свой запас эфира почти до 50% от уровня до взлома.

Ethereum: Exchange Reserve - Bybit, 1-месячный график. Источник: CryptoQuant

По состоянию на 8:52 утра по всемирному координированному времени (UTC) на счету Bybit находилось более 201 600 токенов Ether, что составляет более 45% по сравнению с 439 000 Ether, которые у него были 20 февраля, до того как взлом на сумму 1,4 млрд долларов временно сократил резервы Ether на Bybit до всего лишь 61 000 ETH 21 февраля.

• Часть растущих резервов биржи приходится на спотовые покупки. Bybit купил 106 498 Ether на сумму 295 миллионов долларов на внебиржевых (OTC) торгах с момента обнаружения уязвимости, написала платформа крипторазведки Lookonchain в сообщении X от 23 февраля.

Источник: Lookonchain

Лидеры криптоиндустрии и биржи также поспешили оказать помощь Bybit, осуществив экстренные переводы, включая 50 000 эфиров от Binance, 40 000 эфиров от Bitget и 10 000 эфиров от Ду Цзюня, соучредителя HTX Group, и других.

Источник: Грейси Чен

• Восстановление резервов биржи Bybit и продолжающийся вывод средств пользователями являются надежным признаком доверия к криптоиндустрии, учитывая, что ей удалось продолжить работу после крупнейшего взлома в истории криптовалют и финансов.

Соучредитель и генерaльный директор Вybit Бен Чжоу сообщил в своем сообщении от 22 февраля, что компания Bybit обработала более 350 000 запросов на вывод средств в течение 10 часов с момента обнаружения уязвимости, выполнив 99,9% из них к 1:45 утра по всемирному координированному времени.

Bybit выдал кредит почти на 400 миллионов долларов после взлома

Криптоиндустрия оказала Bybit помощь, предоставив Ether на сумму 390 миллионов долларов в виде экстренных займов и переводов.

• Bybit получил в общей сложности 145 000 ETH на сумму 390 миллионов долларов США в виде займов и депозитов с момента взлома, включая ETH на сумму 127 миллионов долларов США от китов Binance и более 53 миллионов долларов США из одного кошелька-кита, написал Lookonchain в сообщении X от 22 февраля.

По данным DefiLlama, в течение дня после инцидента стоимость совокупных активов Bybit упала более чем на 5,3 млрд долларов, включая 1,4 млрд долларов, потерянных в результате взлома.

Bybit общие активы, притоки. Источник: DefiLlama

Несмотря на взлом и падение активов, резервы биржи Bybit по-прежнему превышают ее обязательства, согласно ее независимому аудитору Proof-of-Reserve (PoR) Hacken. В посте от 21 февраля на X Hacken подтвердил:

• «Сегодняшний взлом был масштабным — сильный удар по отрасли. Но вот суть: резервы Bybit по-прежнему превышают его обязательства. Как независимый аудитор PoR, мы подтвердили, что средства пользователей остаются полностью обеспеченными».

Что привело к взлому Bybit на сумму 1,4 миллиарда долларов?

Аналитики по безопасности блокчейна, включая Arkham Intelligence и онлайн-детектива ZachXBT, проследили атаку Bybit до связанной с северокорейским государством группы Lazarus Group, которая также является главным подозреваемым во взломе сети Ronin на сумму 600 миллионов долларов.

• По словам Меира Долева, соучредителя и главного технического директора Cyvers, эта атака имеет сходство со взломом WazirX на сумму 230 миллионов долларов и взломом Radiant Capital на сумму 58 миллионов долларов.

Долев заявил, что холодный кошелек Ethereum с мультиподписью был взломан с помощью мошеннической транзакции, в результате которой подписанты неосознанно одобрили вредоносное изменение логики смарт-контракта.

«Похоже, что холoдный кошелек Вybit ЕТН с мультиподписью был скомпрометирован посредством мошеннической транзакции, которая заставила подписантов неосознанно одобрить вредоносное изменение логики смарт-контракта».

• «Это позволило хакеру получить контроль над холодным кошельком и перевести все ETH на неизвестный адрес», — рассказал Долев.

Быстрые действия Tether по заморозке средств

Однако за этим решением стоит интересный вопрос для рассмотрения: достаточно ли этого действия, чтобы смягчить последствия взлома такого масштаба? С учетом миллиардов долларов, замороженных в общей сложности, заморозка 181 000 USDT кажется каплей в море. Тем не менее, это действие является признаком того, что крупные криптовалютные компании постепенно повышают свои протоколы безопасности и реакции на киберпреступность.

Режим взлома: использование лазеек во внутренних передачах

• Согласно анализу, проведенному Arkham Intelligence, эта атака произошла, когда Bybit регулярно переходил с холодного кошелька на теплый. Хакеры использовали эту возможность, чтобы перенаправить средства на неизвестный адрес. Интересно, что подобная ситуация не первая, произошедшая в криптопространстве.

Многие аналитики полагают, что это действие — дело рук Lazarus Group, хакерской группы, предположительно связанной с Северной Кореей. В частности, в финансовом и крипто-секторах они хорошо известны своими довольно продвинутыми методами запуска кибератак.

Bybit сохраняет оптимизм и утверждает, что средства пользователей в безопасности

Но это поднимает важный вопрос: насколько безопасны процедуры безопасности на других криптовалютных биржах, если подобный взлом может произойти в сети размером с Bybit? И есть ли долгосрочное решение, чтобы предотвратить еще одно подобное происшествие?

Минимизация рисков: как Ethena Labs защищает активы USDe

• Такой план еще больше подчеркивает необходимость диверсификации и применения более безопасных технологий хранения. Такого рода шаги могут стать новым эталоном в крипто-секторе по мере роста проблем кибербезопасности.

Этот инцидент еще раз говорит нам, что хакеры по-прежнему находят легкую добычу в криптовалютном пространстве. Однако есть и светлая сторона: корпорации начнут действовать тем раньше, чем больше они понимают необходимость безопасности.