" Потери от мошенничества, эксплоитов и взломов криптовалют в феврале составили почти $1,53 млрд., причем львиная доля потерь приходится на взлом Bybit на $1,4 млрд., заявила компания по безопасности блокчейнов CertiK.
Атака на Bybit 21 февраля северокорейской Lazarus Group стала крупнейшим криптовалютным взломом за всю историю, более чем вдвое превысив взлом Ronin Bridge на $650 млн в марте 2022 года, «который также был осуществлен Lazarus», — сообщила CertiK в сообщении X от 28 февраля.
Потери криптовалюты в феврале почти на 1500% больше, чем $98 млн, зафиксированные CertiK в январе. Однако, исключая потери Bybit, остальные потери криптовалюты в прошлом месяце составили более 126 миллионов долларов, что все еще на 28,5% больше.
Bybit понес самые большие потери в феврале, за ним следует платежная компания стейблкоинов Infini, а затем децентрализованный протокол кредитования денег ZkLend. Источник: CertiK.
Bybit заявил, что злоумышленники взяли под контроль кошелек для хранения. Позже ФБР подтвердило отраслевые сообщения о том, что за атакой стояла Северная Корея, которая начала конвертировать украденную криптовалюту и распределять ее «по тысячам адресов в нескольких блокчейнах».
CertiK добавил, что вторым по значимости инцидентом месяца стал взлом 24 февраля платежной компании стейблкоинов Infini, в результате которого было украдено 49 миллионов долларов.
В отчете от 27 февраля CertiK заявила, что ключевой кошелек, использованный при атаке, ранее использовался для разработки контрактов Infini и сохранил права администратора, используемые для погашения всех токенов Vault.
«Эксплоит выявляет серьезную уязвимость, демонстрируя, как привилегии администратора могут стать единой точкой отказа, — говорится в отчете CertiK. — Одним из фундаментальных аспектов безопасности блокчейна является понимание того, как защитить ваши закрытые ключи».
Команда Infini действительно предложила хакеру шанс удержать 20% украденной добычи, если остальная часть будет возвращена, а также гарантировала, что хакер не столкнется с какими-либо правовыми последствиями.
Был установлен 48-часовой срок, который давно прошел, и, по данным Etherscan, на кошельке, использованном хакером, все еще находится более 17 000 ETH на сумму 43 миллиона долларов.
Источник: Infini.
Публичного объявления о том, планирует ли хакер принять предложение и вернуть какие-либо средства, сделано не было.
Децентрализованный кредитный протокол ZkLend пострадал от третьей по величине атаки в феврале, когда 12 февраля он потерял 10 миллионов долларов из-за хакеров.
В целом, CertiK утверждает, что главной категорией потерь в феврале были взломы кошельков, за которыми следуют уязвимости кода, которые привели к потерям в 20 миллионов долларов, а затем фишинг, в результате которого хакеры украли 1,8 миллиона долларов.
Убытки от криптомошенничества, эксплоитов и взломов снижались в последние дни 2024 года, при этом в декабре была зарегистрирована наименьшая украденная сумма в 28,6 миллиона долларов по сравнению с 63,8 миллионами долларов в ноябре и 115,8 миллионами долларов в октябре.
