Недавнее ограбление криптовалюты на сумму 1,5 миллиарда долларов, осуществленное Северной Кореей, стало крупнейшим в истории криптоиндустрии. В этом ограблении было задействовано известное хакерское объединение Лазарь, которое уже не раз нападало на криптобиржи и другие финансовые учреждения. Давайте разберем, как именно произошло это масштабное преступление, какие методы использовались и чему может научиться индустрия. Этап 1: Фишинг Первоначально, как считают эксперты, хакеры провели целенаправленные фишинговые кампании, известные как «специфический фишинг», на ключевых сотрудников компании Bybit. Эта уловка позволила злоумышленникам получить доступ к конфиденциальной информации и интерфейсу пользователя биржи.
Работая с пользователями, они смогли получить доступ к так называемым «кошельковым подписчикам». Для тех, кто не знаком с терминологией, важно понимать разницу между горячими и холодными кошельками. Горячий кошелек — это как онлайн-банк, к которому можно легко получить доступ, но который также подвержен рискам. В то время как холодный кошелек — это оффлайновое устройство, как сейф в доме, и он более защищен от краж. По сути, подписчики кошелька являются ключевыми элементами для подписания и осуществления транзакций.
Этап 2: «Подписанные» транзакции После получения доступа к интерфейсу Bybit хакеры создали поддельную транзакцию, которая позволила перевести криптовалюту из холодного кошелька в горячий. Поскольку злоумышленники получили доступ к частным ключам и подписчикам, они могли обманом заставить систему считать данную операцию легитимной. Во время перевода хакеры смогли перехватить криптовалюту и перенаправить около 401000 эфиров на свой кошелек, что на тот момент эквивалентно примерно 1,46 миллиарда долларов. Этап 3: Перемещение средств После кражи украденные монеты были перемещены через различные кошельки, что стало стандартной тактикой криптоугонщиков для укрытия своих следов от аналитиков. Злоумышленники также обменяли часть украденных эфиров на биткойны и Dai, используя децентрализованные биржи, чтобы оставаться незамеченными в процессе отмывания средств.
Этап 4: Низкий профиль На последнем этапе преступники, скорее всего, решили удерживать украденные средства, ожидая окончания всей шумихи вокруг инцидента, прежде чем продолжить процесс отмывания оставшихся активов. Эта операция была тщательно спланирована и выполнена, и единственным выступлением на экране, возможно, стало поведение самого Bybit. "Когда мы заметили транзакцию, это было в обычном режиме. Я был последним подписантом по этой сделке. Когда появилась транзакция, это была обычная ссылка," - рассказывал потом основатель Bybit, Бен Чжоу, признавая, что не проверил адрес назначения, скрытый кодом, перед тем, как кликнуть по ссылке.
Сразу после операции Bybit запустила свои собственные расследования и аудиты. Основатель Чжоу подтвердила, что все остальные холодные кошельки были в безопасности, а также сообщила, что они жестко сотрудничают с властями для дальнейшего расследования. В результате расследования было найдено и заморожено более 40 миллионов долларов. Чему стоит научиться из данного инцидента? Данный случай подчеркивает постоянную угрозу, исходящую от северокорейских хакеров, известных своей высокой квалификацией и намерением красть криптовалюту для финансирования режима. Это также служит напоминанием о том, что никакие средства безопасности не являются достаточными, если можно обманом заставить нужного человека сделать ошибку.
Отличительной чертой нападения является то, как много попыток было сделано со стороны злоумышленников, прежде чем они смогли добиться успеха. Индустрия криптовалют должна извлечь уроки из этой ситуации и уделить больше внимания обучению сотрудников по вопросам безопасности и поведения в сети. Заключение Взглянув на инцидент с Bybit, можно понять, какое значение имеет информационная безопасность в мире криптовалют. Минимизация человеческого фактора, внимание к фишинговым атакам и постоянное обновление методов защиты должна стать приоритетом для любой организации, работающей в этом сектора.
