Wyrafinowany „phishing” w celu największej kradzieży w historii kryptowalut: 1,4 miliarda wypłynęło z konta Bybit

W zeszły piątek świat kryptowalut przeszedł ze stanu euforii po tym, jak SEC wycofała pozew przeciwko Coinbase , w głęboką depresję. Branża po raz kolejny przeżyła koszmar, który prześladował ją przez całą jej historię: Bybit, druga co do wielkości giełda na świecie pod względem liczby transakcji, z ponad 40 milionami użytkowników na całym świecie, padła ofiarą ataku hakerów. Firma ogłosiła, że ​​cyberprzestępcy opróżnili jej zimny portfel ethereum, kradnąc około 401 tokenów, wartych wówczas ponad 1,4 miliarda dolarów. Wśród inwestorów wybuchła panika, gdy doszło do największej kradzieży funduszy w historii branży.

Co się stało?

Hakerzy zaatakowali zimny portfel ethereum: nazywany również zimnym portfelem , jest to system bez połączenia z Internetem , w którym przechowywane są klucze dostępu do kryptowalut i który jest uważany za najbezpieczniejszy. W rzeczywistości jest to portfel obsługujący wiele podpisów, co oznacza, że ​​do zatwierdzenia transakcji wymagana jest wielokrotna autoryzacja. W piątek kadra zarządzająca spółki przelewała środki z zimnego portfela do gorącego portfela (który przechowuje klucze w miejscach połączonych z siecią) w ramach rutynowego procesu operacyjnego, który zwykle przeprowadza się, gdy na platformie potrzebna jest większa płynność.

Dyrektor generalny platformy, Ben Zhou, był ostatnim, który zatwierdził transakcję , ale nie tę, którą zamierzał przeprowadzić. Za pomocą zaawansowanego systemu atakujący zaprojektowali fałszywy interfejs, który idealnie odzwierciedlał platformę zarządzania portfelem używaną przez Bybit. Interfejs ten wyświetlał zweryfikowane adresy i adresy URL, dzięki czemu transakcje wydawały się legalne. Gdy sygnatariusze zatwierdzili transakcję, hakerzy przekazali środki na nieznany portfel . Ta metoda ataku była tak skuteczna, że ​​systemy bezpieczeństwa Bybit wykrywały nieprawidłowości dopiero, gdy było już za późno. Niezwykle wyrafinowana wersja phishingu, techniki powszechnie stosowanej przez hakerów , którzy próbują oszukać użytkowników, kradnąc ich tożsamość i uzyskując dostęp do danych osobowych lub haseł albo kont internetowych.

Niedługo po ataku firma badawcza Arkham Intelligence wykryła, że ​​fundusze zaczęły być przesyłane na nowe adresy i sprzedawane. Do tej pory współpraca Bybit z innymi platformami doprowadziła do zablokowania i zamrożenia skradzionych środków na kwotę blisko 43 milionów dolarów. Inne są prane za pomocą różnych technik maskowania, w tym przeskakiwania między łańcuchami , co polega na zamianie jednej formy kryptowaluty na inną i przesyłaniu jej przez wiele blockchainów: TRM Labs szacuje, że do niedzielnego wieczora nielegalnymi kanałami przepuszczono 160 milionów dolarów.

Dlaczego ethereum jest bardziej podatne na ataki?

Sieć Ethereum jest wysoko ceniona w branży ze względu na mnogość zastosowań, jakie oferuje. Dzięki kodowi Solidity możliwe jest tworzenie i rozwijanie inteligentnych aplikacji i kontraktów na tym blockchainie . „Ale to również szczyt podatności, który wykorzystują hakerzy ” – mówi Javier Pastor, dyrektor ds. szkoleń w Bit2Me.

Adolfo Contreras, doradca strategiczny w Blockstream, wyjaśnia, że ​​problem leży w błędach w projekcie Ethereum. Sieć ta wykorzystuje EVM, maszynę wirtualną, która jest w stanie wykonywać szeroki zakres instrukcji i uruchamiać inteligentne kontrakty. Ekspert uważa, że ​​system ten jest bardzo skomplikowany i generuje zbyt wiele różnych transakcji, których nie jest w stanie „obsługiwać” portfel sprzętowy, czyli niewielkie urządzenie umożliwiające przechowywanie i ochronę kluczy prywatnych. Oznacza to, że nie ma ono wystarczających możliwości interpretowania ogromnej liczby transakcji generowanych przez EVM. „Konsekwencją tego jest to, że jeśli podpisując transakcję EVM jest ona zbyt złożona i portfel nie jest w stanie jej zinterpretować, składany jest podpis w ciemno . Na małym ekranie urządzenia wyświetla się ciąg alfanumeryczny i zasadniczo podpisujesz wszystko, co się pojawi” – ​​wyjaśnia.

Co zrobiła firma?

W piątek o godzinie 16:51 firma poinformowała o ataku w mediach społecznościowych. Niecałą godzinę później dyrektor generalny odpowiedział na pytania użytkowników i inwestorów za pośrednictwem transmisji strumieniowej , przekazując szczegóły ataku i pojawiające się informacje o aktualizacjach. Zapewniał cały czas, że pozostałe portfele są bezpieczne i nie ucierpiały: „ Bybit jest wypłacalny. Nawet jeśli strata ta nie zostanie odzyskana , wszystkie aktywa klientów są zabezpieczone w stosunku 1 do 1, możemy pokryć stratę” – dodał.

Natychmiast zwrócili się do przedstawicieli branży o współpracę, obiecując przekazanie 10% skradzionych środków tym, którzy pomogą im je odzyskać. Inne giełdy również podjęły działania, blokując portfel używany przez tego hakera i wszystkie inne, na które wysyłana jest część skradzionych środków. „Każda próba wypłacenia skradzionych kryptowalut przez atakującego zostanie zablokowana przez giełdę. Te portfele są tagowane za pomocą oprogramowania , które śledzi wszystkie ruchy hakera dzięki technologii blockchain — wyjaśnia Cristina Carrascosa, dyrektor generalna i założycielka ATH21.

Dziś rano Ben Zhou ogłosił, że Bybit odzyskał już skradzione środki i znów dysponuje wystarczającymi aktywami, aby zabezpieczyć 100% depozytów swoich klientów. Firma poinformowała, że ​​uzupełniła stan 446,87 jednostek Ethereum, co przy obecnych cenach stanowi ponad 1,2 miliarda dolarów, poprzez pożyczki, depozyty od dużych inwestorów i bezpośrednie zakupy tokenów.

Kto stoi za atakiem?

Firmy analityczne, takie jak Arkham i TRM Labs, śledziły skradzione fundusze, a ich badania wskazują, że za atakiem stoi północnokoreańska grupa Lazarus. „Atak przebiegał według ich dobrze znanego podręcznika, a północnokoreańscy hakerzy nie ukrywają swoich śladów, ponieważ działają poza zasięgiem organów ścigania” — powiedział Ari Redbord, globalny dyrektor ds. polityki i spraw rządowych w TRM Labs. W ciągu jednego dnia północnokoreańscy hakerzy prawie podwoili kwotę, którą ukradli w 2024 r.: w zeszłym roku odpowiadali za około 35% wszystkich skradzionych funduszy, co stanowiło około 800 milionów dolarów w kryptowalucie skradzionej w operacjach o dużym wpływie. Według najnowszego badania Chainalysis, w ubiegłym roku odnotowano 47 incydentów, a kwota ta wyniosła 1,34 miliarda dolarów.

Czy były podobne przypadki?

TRM Labs twierdzi, że ataki na gorące portfele i inteligentne kontrakty są powszechne, ale naruszenia bezpieczeństwa zimnych portfeli na taką skalę zdarzają się rzadko. Jednakże miały miejsce również inne, podobne ataki. Contreras zauważa, że ​​ostatnie włamanie przypomina mu włamanie do Parity z 2017 r.: wówczas hakerzy wykorzystali lukę w zabezpieczeniach inteligentnych kontraktów oprogramowania , co umożliwiało zarządzanie portfelami obsługującymi wiele podpisów. Napastnicy przejęli kontrolę nad kilkoma portfelami i przywłaszczyli sobie środki : ukradli około 150 000 jednostek Ethereum, wartych wówczas około 30 milionów dolarów.

Eksperci uważają, że po tym ostatnim incydencie platformy przeznaczą większy budżet na cyberobronę. Redbord zauważa, że ​​jeszcze rok temu prędkość, z jaką atakujący przesyłają taką kwotę, była nie do pomyślenia. „Skala i szybkość tej operacji prania pieniędzy oznaczają niebezpieczną ewolucję w sposobie, w jaki hakerzy sponsorowani przez państwo mogą wykorzystywać ekosystem kryptowalut, korzystając z technologii i solidnych sieci prania pieniędzy. Wskazuje to na pilną potrzebę współpracy transgranicznej w zakresie egzekwowania prawa”.

Przyznają jednak, że reakcja firmy na wypadek tak poważnej skali była skuteczna. „Mówimy o ataku hakerskim na kwotę 1,4 miliarda, który nie spowodował żadnego problemu z płynnością giełdy . Jeśli się nad tym głębiej zastanowić, mówimy o bardzo wysokiej kwocie, a on mógłby kontynuować działalność bez niej. „To bez wątpienia standard, do którego dążą wszyscy pracujący w tym sektorze” – podsumowuje Carrascosa.