В феврале 2025 года мировое криптосообщество потрясла новость о масштабной хакерской атаке на криптовалютную биржу Bybit, базирующуюся в Дубае. По предварительным данным, злоумышленникам удалось украсть свыше 1,44 миллиарда долларов в эфире (ETH), сделав это событие крупнейшей в истории подобной кражей с централизованной торговой платформы. Инцидент вызвал бурные обсуждения относительно безопасности криптовалютных активов, роли холодных кошельков и методов, применяемых хакерами при проведении атак столь колоссального масштаба. Этот случай стал одним из ключевых вех для понимания современных угроз в криптоиндустрии и тестом для самой Bybit, которая заявила о готовности полностью компенсировать потери своих клиентов. По данным расследования, хакерская группа Lazarus, известная как северокорейская киберпреступная организация, стоит за этой атакой.
Эта группа уже имела опыт проведения крупных криптовалютных краж, включая взлом Ronin Network в 2022 году, в результате которого пропало более 600 миллионов долларов. Методология Lazarus включает использование сложных техник обхода систем безопасности, а также эффективных схем по отмыванию и распределению украденных средств. В случае с Bybit атака была проведена в стиле "smash-and-grab" — быстрое выведение больших сумм с платформы за короткий промежуток времени. Начало инцидента пришлось на утренние часы 17 февраля 2025 года, когда специалисты по криптоинвестигейшену заметили аномальные перемещения эфириума в кошельках биржи. В течение нескольких минут с холодного кошелька Bybit были выведены значительные суммы эфириума и его производных токенов, включая stETH, cmETH и mETH.
Аналитики заметили, что все производные формы быстро конвертировались в стандартный ETH для удобства дальнейших переводов. Кроющаяся за этим сложная схема перевода средств через многочисленные адреса и распределение на десятки кошельков позволила хакерам затруднить трассировку украденных активов. Особую обеспокоенность вызвало то, что атака была нацелена непосредственно на холодный кошелек, хранящий средства офлайн, который считается одним из самых надежных способов защиты криптовалюты. Обычно такие кошельки доступны только через закрытые ключи, хранящиеся у ограниченного круга сотрудников биржи, и не имеют прямого подключения к интернету. CEO Bybit Бен Чжоу в официальных сообщениях отметил, что несмотря на проникновение в конкретный холодный кошелек, остальные кошельки и обычные операции на платформе остаются безопасными.
Эксперты в области кибербезопасности высказывают предположения о том, как была осуществлена эта необычная атака. Среди вероятных сценариев рассматривается либо скомпрометированное внутреннее лицо, обладающее доступом к закрытым ключам, либо значительный взлом инфраструктуры компании, включая сети и устройства сотрудников. Однако основатель компании по кибербезопасности Blockaid Айдо Бен-Натан считает версию об инсайдерской деятельности маловероятной, акцентируя внимание на том, что Lazarus и им подобные группы обладают высокой квалификацией и применяют сложные внешние взломы. Инцидент с Bybit отобразил тревожную тенденцию в сфере защиты криптовалютных бирж: даже самые передовые технологии хранения не могут обеспечить абсолютной защищенности при недостаточном контроле над инфраструктурой и внутренними процессами. Также была поднята тема недостатков в области прозрачности, лицензирования и комплаенса у Bybit, поскольку биржа ранее подвергалась критике и ограничениям в ряде стран, включая Францию, Гонконг и Индию.
Реакция руководства Bybit была оперативной. В публичных заявлениях озвучена гарантия компенсации клиентских убытков, в том числе с привлечением так называемого "мостового кредита" (bridge loan), который позволит поддержать ликвидность и выполнить обязательства перед пользователями. Кроме того, биржа объявила о размещении вознаграждений на сумму 140 миллионов долларов для специалистов по кибербезопасности, способных содействовать в отслеживании и возврате украденных средств. Это может помочь смягчить социально-экономические последствия инцидента и сохранить доверие клиентов. Аналитические компании, такие как Nansen и Elliptic, приняли активное участие в расследовании, публикуя информацию о движении средств и связывая атаку с действиями Lazarus Group.
Запутанный маршрут потерь и множество промежуточных переводов усложняют задачу правоохранительных органов и независимых исследователей, однако общественный интерес к делам такого рода подталкивает к развитию новых методов отслеживания и анализа криптотранзакций. В свете этой атаки несколько важных уроков становятся очевидными для всей криптоиндустрии. Необходимо пересмотреть подход к безопасности не только на уровне технических средств, но и в вопросах организационной структуры, разграничения доступа и обучения сотрудников. Крупные платформы должны повысить прозрачность своей деятельности, улучшить стандарты аудита и работать в рамках четко регламентируемых лицензий и нормативов. В долгосрочной перспективе такие меры смогут помочь избежать повторения подобных инцидентов и сохранить динамику развития цифровых активов.
Одновременно с этим инцидент послужил подтверждением, что киберпреступность в сфере криптовалют продолжает эволюционировать и становится все более изощренной. Северокорейская группа Lazarus демонстрирует способность проводить кибератаки на крупномасштабные проекты с применением передовых технологий и сложных схем, что представляет вызов для всех участников рынка. Борьба с подобными угрозами требует международного сотрудничества, координации действий регуляторов и обмена информацией между компаниями и экспертами. Bybit, несмотря на удар по своей репутации, пытается решить возникшие проблемы с ответственностью и внимательно работает над восстановлением показателей доверия клиентов. Восстановление активов и дальнейшие меры безопасности станут лакмусовым тестом готовности криптобирж действовать прозрачно и эффективно в чрезвычайных ситуациях.
Этот прецедент также повышает сознательность пользователей и инвесторов, которые теперь более внимательно оценивают риски и ищут биржи с высокими стандартами защиты и устойчивостью к внешним угрозам. Таким образом, хакерская атака на Bybit стала не только крупнейшим криминальным инцидентом в криптоиндустрии последнего времени, но и важным сигналом о необходимости усиления мер безопасности и регулирования на рынке цифровых валют. Реакция компании и меры по возврату средств показывают, что даже в условиях серьезных испытаний возможно сохранить финансовую устойчивость и доверие пользователей. В то же время, опыт Lazarus Group служит напоминанием о том, что киберугрозы будут присутствовать всегда, и только совместная работа отрасли, специалистов и регуляторов способна обеспечить устойчивое развитие и безопасность цифровых финансовых экосистем.
