" Взлом Bybit на сумму 1,4 млрд долларов был не просто крупнейшим эксплойтом в истории криптовалют — он стал серьезным испытанием возможностей отрасли по управлению кризисами, подчеркнув ее зрелость после краха FTX. 21 февраля северокорейская Lazarus Group скрылась с 1,4 млрд долларов в Ether ETH $2074 и связанных токенах в результате взлома, который изначально вызвал озноб во всем мире криптовалют, но был быстро подавлен, поскольку индустрия сплотилась вокруг Bybit, чтобы справиться с последствиями. Вот как разворачивалась атака, как Bybit отреагировал и куда уходят украденные средства.
Источник: Elliptic.
21 февраля: Взлом Bybit
Взлом Bybit был впервые обнаружен ончейн-сыщиком ZachXBT, который предупредил платформы и биржи о необходимости внести в черный список адреса, связанные со взломом. Вскоре после этого соучредитель и генеральный директор Bybit Бен Чжоу подтвердил наличие эксплойта и начал предоставлять обновления и информацию о взломе.
В отчете Chainalysis изначально говорилось, что Lazarus проводил фишинговые атаки, чтобы получить доступ к средствам биржи, но позже анализ был обновлен, чтобы сообщить, что хакеры получили контроль над компьютером разработчика Safe, а не взломали системы Bybit.
Злоумышленникам удалось «перенаправить» около 401 000 ETH, что на момент взлома составляло 1,14 млрд долларов, и переместить их через сеть промежуточных кошельков.
Сложная сеть кошельков, свопов и кроссчейн-переводов, которую хакеры использовали для сокрытия средств. Источник: Chainalysis.
21 февраля: Bybit заверяет пользователей в безопасности кошельков и платежеспособности Ethena
Биржа поспешила заверить пользователей в безопасности оставшихся кошельков, объявив всего через несколько минут после того, как Чжоу подтвердил эксплойт, что «все остальные холодные кошельки Bybit остаются полностью защищенными. Все клиентские средства в безопасности, и наши операции продолжаются в обычном режиме без каких-либо сбоев». Через несколько часов после взлома вывод средств клиентов оставался открытым. Чжоу заявил на сессии вопросов и ответов, что на тот момент биржа одобрила и обработала 70% запросов на вывод средств.
Децентрализованная финансовая платформа Ethena сообщила пользователям, что ее доходный стейблкоин USDe по-прежнему платежеспособен после взлома. Сообщается, что платформа имела $30 млн в финансовых деривативах на Bybit, но смогла компенсировать убытки с помощью своего резервного фонда.
22 февраля: Криптоиндустрия протягивает Bybit руку помощи, хакеры занесены в черный список
Ряд криптобирж предоставила помощь Bybit. Генеральный директор Bitget Грейси Чен объявила, что ее биржа одолжила Bybit около 40 000 ETH (около 95 миллионов долларов на тот момент). Генеральный директор Crypto.com Крис Маршалек сказал, что поручит службе безопасности своей фирмы оказать помощь. Другие биржи и компании начали замораживать средства, связанные со взломом. Генеральный директор Tether Паоло Ардоино опубликовал на X сообщение о том, что фирма заморозила 181 000 USDt, связанных со взломом. Главный специалист по информационной безопасности Polygon Мадит Гупта сказал, что команде Mantle удалось вернуть около 43 миллионов долларов средств от хакеров.
Чжоу опубликовал благодарственную записку на X, отметив ряд известных криптофирм, которые, по его словам, помогли Bybit, включая Bitget, Galaxy Digital, TON Foundation и Tether.
“Bybit ошеломлен всей поддержкой, которую мы получили от партнеров и друзей отрасли в критическое время прошлой ночи. Здесь я хочу поблагодарить всех друзей, партнеров, которые предложили помощь или помогли нам любым способом или в любой форме. Я действительно благодарен. Нам понадобится гораздо больше помощи в будущем. Спасибо! Хотя это трагическое событие для Bybit, однако в это трудное время наша отрасль показала силу, поскольку мы объединяемся вместе. С этого момента мы можем только расти. Как команда, мы готовы защищать нашу отрасль вместе”, — написал Чжоу.
Источник: Ben Zhou.
Bybit также объявила о программе вознаграждений в сумме до 10% от восстановленных средств.
22 февраля: набег на вывод средств, Lazarus переводит средства
После инцидента вывод средств пользователями снизил общую стоимость активов биржи более чем на 5,3 миллиарда долларов. Несмотря на набег на вывод средств, биржа держала запросы на вывод открытыми, хотя и с задержками, а Hacken, независимый аудитор Bybit, подтвердил, что резервы по-прежнему превышают обязательства.
Между тем, следы блокчейна показали, что Lazarus продолжал разделять средства на промежуточные кошельки, еще больше запутывая их движение.
Например, фирма Lookonchain, занимающаяся анализом блокчейна, заявила, что Lazarus перевел 10 000 ETH на сумму около 30 миллионов долларов на кошелек, идентифицированный как «Bybit Exploiter 54», чтобы начать отмывание средств. Фирма Elliptic, занимающаяся безопасностью блокчейна, написала, что средства, вероятно, направлялись в миксер — сервис, который скрывает связи между транзакциями в блокчейне, — хотя «это может оказаться сложной задачей из-за огромного объема украденных активов».
23 февраля: eXch, Bybit продолжает восстанавливать средства, черные списки растут
Аналитики блокчейна ZachXBT и Ник Бакс сообщили, что хакерам удалось отмыть средства на криптобирже eXch, не поддерживающей правила Know Your Customer. ZachXBT утверждает, что eXch отмыла 35 миллионов долларов из этих средств, а затем случайно отправила 34 ETH на горячий кошелек другой биржи.
EXch отрицает, что отмывала средства для Северной Кореи, но признала обработку «незначительной части средств от взлома ByBit.
“Средства в конечном итоге поступили на наш адрес 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123, что было единичным случаем и единственной частью, обработанной нашей биржей, сборы с которой будут пожертвованы нами на общественное благо», — заявила eXch.
Чтобы помочь идентифицировать кошельки, которые были вовлечены в инцидент, Bybit выпустила черный список интерфейса прикладного программирования кошелька (API). Биржа заявила, что этот инструмент поможет белым хакерам в ее вышеупомянутой программе вознаграждений.
Bybit также удалось восстановить свои резервы Ether почти до половины от того, что было до взлома, в основном за счет спотовых покупок во внебиржевых торгах после инцидента, но также включая Ether, предоставленный в долг другими биржами.
24 февраля: Lazarus замечен на DEX, Bybit закрывает разрыв ETH
Блокчейн-детективы продолжали отслеживать поток средств, теперь связанный с Lazarus. Arkham Intelligence обнаружила адреса, связанные с хакерами на децентрализованных биржах (DEX), пытающимися обменять украденную криптовалюту на Dai. Кошелек, получающий часть украденного ETH от Bybit, как сообщается, взаимодействовал с Sky Protocol, Uniswap и OKX DEX. По данным торговой платформы LMK, хакеру удалось обменять не менее $3,64 млн.
В отличие от других стейблкоинов, таких как USDT и USDC, Dai не может быть заморожен.
Чжоу объявил, что Bybit «полностью закрыл разрыв ETH», т. е. восполнил $1,4 млрд в Ether, потерянных в результате взлома. За его заявлением последовал сторонний отчет о подтверждении резервов.
Источник: CryptoQuant.
25 февраля: война с Lazarus
Bybit запустил специальный веб-сайт для своих усилий по восстановлению, который Чжоу продвигал, призывая сообщество криптовалют объединиться против Lazarus Group. Сайт проводит различие между теми, кто помогал, и теми, кто, как сообщается, отказался сотрудничать.
Почти 95 миллионов долларов США в заявленных средствах были переведены на eXch. Источник: LazarusBounty.
В нем указаны лица и организации, которые помогали замораживать украденные средства, и им назначено вознаграждение в размере 10%, которое поровну делится между репортером и организацией, которая заморозила средства.
В нем также указана eXch как единственная платформа, которая отказалась помочь, проигнорировав 1061 отчет.
26 февраля: ФБР подтверждает сообщения о взломе Lazarus и Safe
Федеральное бюро расследований США (ФБР) подтвердило широко распространенное подозрение, что северокорейские хакеры совершили эксплойт Bybit, назвав участников TraderTraitor, более известных в кругах кибербезопасности как Lazarus Group. В публичном объявлении ФБР призвало частный сектор, включая операторов узлов, биржи и мосты, блокировать транзакции, поступающие с адресов, связанных с Lazarus.
“Машина разработчика Safe была скомпрометирована. Это позволило получить доступ к AWS и их S3. Вредоносный JavaScript был отправлен туда и в конечном итоге распространен. Вредоносный код JS был нацелен конкретно на адрес контракта Bybit. Код JS изменяет содержимое транзакции во время процесса подписания”.
ФБР выявило 51 подозрительный блокчейн-адрес, связанный со взломом, а фирма по кибербезопасности Elliptic выявила более 11 000 посредников. Между тем, расследования после взлома показали, что эксплойт был совершен через скомпрометированные учетные данные SafeWallet, а не через инфраструктуру Bybit, как сообщалось ранее.
27 февраля: взрывной рост объема THORChain
Фирма по безопасности TRM Labs отметила скорость отмывания денег хакерами Bybit как «особенно тревожную», поскольку хакеры, как сообщается, перевели более 400 миллионов долларов к 26 февраля через посреднические кошельки, криптоконверсии, кроссчейн-мосты и DEX.
TRM также отметила, что большая часть украденных средств была конвертирована в биткоины BTC — тактика, обычно связанная с Lazarus. Большая часть конвертированных биткоинов остается без движения.
Тем временем Arkham Intelligence обнаружила, что Lazarus переместил не менее 240 миллионов долларов в ETH через кроссчейн-протокол THORChain, обменяв их на Bitcoin. Общий объем обмена THORChain за 48 часов превысил 1 миллиард долларов.
Разработчик THORChain «Pluto» объявил о своем немедленном выходе из проекта после того, как голосование за блокировку транзакций, связанных с северокорейскими хакерами, было отменено. Тем временем Lookonchain сообщил, что хакеры отмыли 54% украденных средств.
Что означает взлом Bybit для криптовалюты
Bybit, возможно, смог полностью восстановить свои утраченные резервы, но инцидент поднял более серьезные вопросы об индустрии блокчейна и о том, как можно бороться со взломами.
Разработчик Ethereum Тим Бейко быстро отклонил призыв откатить сеть Ethereum, чтобы вернуть Bybit. Он сказал, что взлом принципиально отличался от предыдущих инцидентов, добавив, что «взаимосвязанная природа Ethereum и урегулирование экономических транзакций onchain-offchain делают это сегодня неразрешимым».
Последствия эксплойта Bybit свидетельствуют о том, что Lazarus Group становится более эффективной в перемещении средств на основе блокчейна. Следователи из TRM Labs подозревают, что это может указывать на улучшение криптоинфраструктуры Северной Кореи или улучшение способности подпольной финансовой сети поглощать незаконные средства.
По мере роста стоимости, заблокированной на блокчейн-платформах, растет и сложность атак. Отрасль остается главной целью для северокорейских государственных хакеров, которые, как сообщается, направляют свои доходы на финансирование своей программы вооружения.
