Изощренный «фишинг» с целью крупнейшей кражи в истории криптовалют: со счета Bybit утекло 1,4 миллиарда

В прошлую пятницу мир криптовалют перешел от эйфорического состояния после того, как SEC отозвала иск против Coinbase , к глубокой депрессии. Индустрия вновь пережила кошмар, который преследовал ее на протяжении всей ее истории: была взломана биржа Bybit, вторая по величине в мире по количеству транзакций и имеющая более 40 миллионов пользователей по всему миру. Компания объявила, что киберпреступники опустошили ее холодный кошелек Ethereum, похитив около 401 токена стоимостью более 1,4 млрд долларов на тот момент. Среди инвесторов началась паника, поскольку это стало крупнейшей кражей средств в истории отрасли.

Что случилось?

Хакеры атаковали холодный кошелек Ethereum: также называемый холодным кошельком , это система без подключения к интернету , которая хранит ключи доступа к криптовалютам и считается самой безопасной. По сути, это кошелек с несколькими подписями, требующий многократной авторизации для одобрения транзакции. В пятницу руководители компании переводили средства со своего холодного кошелька на горячий кошелек (который хранит ключи в местах, подключенных к сети) в рамках рутинного операционного процесса, который обычно выполняется, когда на платформе требуется больше ликвидности.

Генеральный директор платформы Бен Чжоу был последним, кто подтвердил транзакцию , но не ту, которую он планировал. Злоумышленники с помощью сложной системы разработали поддельный интерфейс, который идеально копировал платформу управления кошельком, используемую Bybit. Этот интерфейс отображал проверенные адреса и URL-адреса, что делало транзакции законными. После того, как подписчики одобрили транзакцию, хакеры перевели средства на неизвестный кошелек . Этот метод атаки оказался настолько эффективным, что системы безопасности Bybit обнаружили аномалии только тогда, когда было уже слишком поздно. Чрезвычайно сложная версия фишинга — метода, который обычно используют хакеры , пытаясь обмануть пользователей с помощью кражи личных данных, чтобы украсть личную информацию или получить доступ к онлайн-аккаунтам или паролям.

Вскоре после атаки исследовательская фирма Arkham Intelligence обнаружила, что средства начали перемещаться на новые адреса и продаваться. На сегодняшний день сотрудничество Bybit с другими платформами привело к блокировке и заморозке почти 43 миллионов долларов украденных средств. Другие отмываются с помощью различных методов обфускации, включая переключение цепочек , которое подразумевает конвертацию одной формы криптовалюты в другую и перемещение ее через несколько блокчейнов: по оценкам TRM Labs, к вечеру воскресенья через незаконные каналы было переведено 160 миллионов долларов.

Почему Ethereum более уязвим?

Сеть Ethereum высоко ценится в отрасли за множество вариантов ее использования . Фактически, благодаря коду Solidity на этом блокчейне можно создавать и разрабатывать смарт-приложения и контракты. «Но это также вершина уязвимости, которой пользуются хакеры », — говорит Хавьер Пастор, директор по обучению в Bit2Me.

Адольфо Контрерас, стратегический консультант Blockstream, объясняет, что проблема кроется в недостатках архитектуры Ethereum. Эта сеть использует EVM — виртуальную машину, способную выполнять широкий спектр инструкций и запускать смарт-контракты. Эксперт считает, что эта система очень сложна и генерирует слишком много различных транзакций, которые не может «поддерживать» аппаратный кошелек — небольшое устройство, позволяющее хранить и защищать закрытые ключи: то есть, у него нет достаточной мощности для интерпретации огромного количества транзакций, которые генерирует EVM. «Следствием этого является то, что при подписании транзакции EVM, если она слишком сложна и кошелек не может ее интерпретировать, создается слепая подпись . «На маленьком экране устройства вы видите буквенно-цифровую последовательность и, по сути, подписываете все, что появляется», — объясняет он.

Что сделала компания?

В пятницу в 16:51 компания сообщила об атаке в своих социальных сетях. Чуть более часа спустя генеральный директор ответил на вопросы пользователей и инвесторов в ходе трансляции , рассказав подробности атаки и ставшие известными обновления. Он всегда заверял, что другие кошельки в безопасности и не пострадали: « Bybit платежеспособен. «Даже если этот убыток не будет возмещен , все активы клиентов обеспечены в соотношении 1 к 1, мы сможем покрыть убыток», — добавил он.

Они немедленно обратились к отрасли за содействием, пообещав пожертвовать 10% украденных средств тем, кто поможет им вернуть эти средства. Другие биржи также приняли меры, заблокировав кошелек, используемый этим хакером, и все те, куда отправляется часть украденных средств. «Любые действия злоумышленника, желающего обналичить украденные криптовалюты, будут заблокированы биржей. «Эти кошельки помечены с помощью программного обеспечения , которое отслеживает все движения хакера благодаря блокчейну », — объясняет Кристина Карраскоса, генеральный директор и основатель ATH21.

Сегодня утром Бен Чжоу объявил, что Bybit уже восполнил украденные средства и снова располагает достаточными активами для обеспечения 100% депозитов своих клиентов. Компания сообщила, что пополнила запасы Ethereum на 446,87 единиц на сумму более 1,2 млрд долларов по текущим ценам за счет кредитов, депозитов крупных инвесторов и прямых покупок токенов.

Кто стоит за атакой?

Аналитические компании, такие как Arkham и TRM Labs, отслеживают похищенные средства, и их исследования указывают на то, что виновником взлома является северокорейская Lazarus Group. «Атака последовала за их хорошо известной схемой, и северокорейские хакеры не скрывают своих следов, потому что они действуют вне досягаемости правоохранительных органов», — сказал Ари Редборд, глобальный директор по политике и государственным связям в TRM Labs. За один день северокорейские хакеры почти удвоили сумму, украденную ими в 2024 году: фактически, в прошлом году они были ответственны примерно за 35% всех украденных средств, что составило около 800 миллионов долларов в криптовалюте, украденной в ходе высокоэффективных операций. Согласно недавнему исследованию Chainalysis, в прошлом году эта цифра составила 1,34 млрд долларов США по 47 инцидентам.

Были ли подобные случаи?

По данным TRM Labs, атаки на горячие кошельки и смарт-контракты — обычное дело, однако нарушения безопасности холодных кошельков в таких масштабах случаются редко. Однако были и другие подобные нападения. Контрерас отмечает, что этот последний взлом напоминает ему взлом Parity в 2017 году: тогда хакеры воспользовались уязвимостью в смарт-контрактах программного обеспечения , что позволило управлять кошельками с несколькими подписями. Злоумышленники взяли под контроль некоторые кошельки и перенаправили средства : они скрылись с примерно 150 000 единиц Ethereum, что на тот момент стоило около 30 миллионов долларов.

После последнего инцидента эксперты полагают, что платформы будут выделять больше средств на киберзащиту. Редборд отмечает, что скорость, с которой злоумышленники переводят такие суммы денег, была невообразима еще год назад. «Масштабы и скорость этой операции по отмыванию денег знаменуют собой опасную эволюцию того, как спонсируемые государством хакеры могут эксплуатировать экосистему криптовалют, используя преимущества технологий и надежных сетей по отмыванию денег. Это свидетельствует о настоятельной необходимости трансграничного сотрудничества в правоохранительной сфере».

Однако они признают эффективную реакцию компании на аварию такого масштаба. «Речь идет о взломе на сумму 1,4 миллиарда долларов, который даже не вызвал проблем с ликвидностью биржи . Если задуматься, то речь идет об очень большой сумме, и он мог бы продолжать работать и без нее. «Это, без сомнения, стандарт, к которому стремятся все, кто работает в этом секторе», — заключает Карраскоса.