Биржа криптовалют Bybit сделала громкое заявление о том, что предлагает 140 миллионов долларов в качестве вознаграждения за возврат средств, похищенных в результате самой крупной кражи криптовалюты в истории. Это происшествие произошло 21 февраля 2025 года и привлекло внимание не только крипто-инвесторов, но и мировых специалистов по кибербезопасности. В данном инциденте подозревается группа Lazarus из Северной Кореи, которая, по мнению экспертов, стоит за этой дерзкой атакой на платформу, базирующуюся в Дубае. По данным Bybit, была обнаружена несанкционированная активность, связанная с одним из холодных кошельков ETH, что привело к утечке огромной суммы в 1,4 миллиарда долларов. По словам представителей Bybit, инцидент произошел в результате манипуляции смарт-контрактом; злоумышленник смог скрыть настоящее намерение, изменив логику трансакции на уровне смарт-контракта.
В итоге злоумышленник получил полный контроль над холодным кошельком и перевел средства на неустановленные адреса. Криптографическая аналитическая компания Elliptic прокомментировала, что преступники использовали классическую двухступенчатую схему отмывания денег после кражи. На первом этапе украденные токены обменивались на эфир (ETH), так как внимание к токенам более высокое и их можно заморозить в случае кражи. Стремясь избежать блокировки, злоумышленники обменяли украденные токены на ETH в первые минуты после кражи. На втором этапе они осуществляют "слойку" средств, чтобы запутать следы транзакций.
Elliptic сообщила, что через два часа после кражи украденные средства были распределены по 50 различным кошелькам, каждый из которых содержал около 10,000 ETH. В последующие дни эти кошельки начали истощаться, и на момент 23 февраля с них было перемещено 10% украденных активов, что оценивалось в 140 миллионов долларов. По мере того как средства перемещаются между кошельками, группа Lazarus, вероятно, использует децентрализованные обменники, кросс-чейн мосты и централизованные биржи для дальнейшего отмывания средств. Кроме того, они могут задействовать так называемые "миксеры", которые позволяют обменивать криптоактивы анонимно. В свою очередь, Bybit объявила о готовности выплатить до 140 миллионов долларов в качестве вознаграждения тем, кто поможет в восстановлении похищенных криптовалют.
Биржа высоко оценила работу индустриальных групп, которые объединились для отслеживания, блокировки и восстановления некоторых похищенных активов. Например, команда mETH Protocol смогла вернуть 15,000 токенов cmETH, что составило около 43 миллионов долларов. Кроме того, Bybit предложила новую API, которая предназначена для обновления списка подозрительных адресов кошельков и для помощи в восстановительных усилиях. В ближайшем будущем компания намерена запустить платформу HackBounty, которая позволит специалистам по кибербезопасности отслеживать хакеров более эффективно. По словам Сантьяго Понтиоли, ведущего исследователя Acronis, этот инцидент подчеркивает постоянные проблемы безопасности, с которыми сталкивается криптосообщество.
Он заметил, что сочетание социальной инженерии и злонамеренно сконструированного смарт-контракта предоставило хакерам доступ к кошелькам. Существует необходимость в повышенной защите контроля над приватными ключами через аппаратные кошельки или решения самообслуживания, чтобы минимизировать риски, связанные с уязвимостями бирж. Понтиоли подчеркивает важность строгого контроля над транзакциями, поскольку бездумное принятие взаимодействий со смарт-контрактами может открыть двери для злонамеренных атак. Bybit заверила своих клиентов, что они не понесут финансовых потерь из-за инцидента. На утро 26 февраля биржа сообщила, что их резервы ETH практически восстановлены и операции по депозитам и выводам идут в обычном режиме.
