" Компания Chainalysis, занимающаяся анализом блокчейна, подробно рассказала о том, как хакеры украли 1,46 млрд долларов с криптовалютной биржи Bybit, и пролила свет на тактику отмывания денег, используемую северокорейской Lazarus Group.
21 февраля Bybit подверглась серьезной атаке, потеряв 1,46 млрд долларов в Ethereum (ETH) и других токенах. Платформа безопасности Blockaid назвала инцидент крупнейшим взломом биржи в истории, а блокчейн-исследователь ZachXBT идентифицировал хакеров как связанную с Северной Кореей Lazarus Group.
24 февраля Chainalysis опубликовала отчет, в котором объяснялось, как происходила атака. В нем были рассмотрены методы и процедуры, использованные при взломе, и приведена «общая схема», используемая хакерами, связанными с Северной Кореей. Фирма отметила, что группа использовала тактику социальной инженерии и сложные методы отмывания средств для перемещения украденных активов.
Схема Bybit Reactor, демонстрирующая сложность методов отмывания денег хакерами Bybit. Источник: Chainalysis
Chainalysis делится пошаговыми подробностями взлома Bybit
Chainalysis заявила, что атака началась с фишинговой кампании, нацеленной на подписантов холодного кошелька Bybit. Затем злоумышленники получили доступ к пользовательскому интерфейсу Bybit, что позволило им заменить контракт на реализацию кошелька с несколькими подписями вредоносной версией. Это позволило им начать обработку несанкционированных переводов средств.
Chainalysis заявила, что хакеры перехватили обычный перевод с холодного кошелька Ethereum Bybit на горячий кошелек. Затем злоумышленники перенаправили около 401 000 ETH (1,46 млрд долларов) на их адреса. Средства были распределены по нескольким промежуточным кошелькам, что является обычной тактикой сокрытия следа транзакций, сообщает Chainalysis.
«Затем украденные активы перемещались через сложную сеть промежуточных адресов. Такое распределение является обычной тактикой, используемой для сокрытия следа и затруднения отслеживания аналитиками блокчейна», — говорится в отчете.
Хакеры конвертировали части украденных ETH в другие активы, включая Bitcoin (BTC) и Dai (DAI). Они использовали децентрализованные биржи (DEX), кроссчейн-мосты и сервис мгновенного обмена без протоколов «Знай своего клиента» (KYC) для перемещения активов по разным сетям.
После этого средства оставались неактивными по нескольким адресам, что Chainalysis описал как преднамеренную стратегию, используемую северокорейскими хакерами.
«Задерживая отмывание, они стремятся переждать усиленное внимание, которое обычно следует сразу за такими громкими инцидентами», — пишет Chainalysis.
Криптосообщество заморозило $40 млн украденных средств Bybit
Поскольку попытки отмывания средств хакерами продолжаются, Chainalysis подчеркнула, что присущая блокчейну прозрачность позволяет компаниям по кибербезопасности отслеживать и контролировать их незаконную деятельность.
Chainalysis уже работала с контактами в отрасли, чтобы помочь заморозить более 40 миллионов долларов украденных у Bybit средств. Компания заявила, что продолжит сотрудничать с государственным и частным секторами, чтобы изъять как можно больше.
Компания подчеркнула, что взлом подтверждает необходимость проактивного инвестирования в предотвращение угроз. Фирма добавила, что существует необходимость в прозрачности в защите средств пользователей.
«Биржи должны будут четко объяснить своим регуляторам и пользователям, как они обеспечивают защиту средств пользователей», — заявила Chainalysis.
Компания добавила, что прочные партнерские отношения между частным и государственным секторами могут усилить способность сообщества реагировать на такие инциденты.
