Взлом на $1,5 млрд: что сейчас происходит с биржей Bybit

Как удалось взломать биржу

21 февраля ряд ончейн-аналитиков забили тревогу, указав на подозрительную активность, связанную с одним из кошельков Bybit. Среди них был известный криптодетектив ZachXBT, который сообщил о переводе 401 346 ETH на неизвестный адрес. Его заявления вскоре подтвердили другие эксперты и мониторинговые платформы.

Спустя 30 минут после появления слухов о взломе платформы на связь вышел CEO Bybit Бен Чжоу. Он заявил, что биржа действительно подверглась хакерской атаке. По его словам, под удар попал один из холодных кошельков, на котором находились значительные объемы Ethereum.

Инцидент произошел в тот момент, когда разработчики биржи занимались «рутинным переводом средств» компании, о котором команда объявила заранее.

При этом глава Bybit заверил, что остальные холодные кошельки платформы защищены, а пользователи смогут беспрепятственно выводить свои активы при необходимости. Компания зафиксировала свыше 350 000 заявок на вывод средств за 10 часов после взлома. К утру 22 февраля 99,994% из них успели обработать, а порядка 2 100 запросов оставались в ожидании.

Согласно ранним заявлениям Bybit, взлом хакеры могли осуществить через уязвимость платформы по управлению цифровыми активами Safe. Однако команда проекта отрицает это и утверждает, что не выявила доказательств компрометации своего интерфейса. При этом разработчики сообщили о тесной работе с представителями биржи.

Эксперты по безопасности из проекта SEAL 911 заявили, что хакеры использовали метод подмены данных на уровне пользовательского интерфейса, так называемую «слепую подпись».

Вредоносное ПО, внедренное в систему, отобразило поддельные данные о транзакции. Таким образом лица, ответственные за перевод, были уверены, что отправляют средства на нужный им кошелек. В действительности они одобрили действия хакеров, которые незамедлительно осуществили вывод средств на свой адрес.

В дальнейшем основная часть украденных активов была распределена по десяткам новых кошельков и через децентрализованные биржи конвертирована в Ethereum, что затруднило отслеживание средств.

Кто украл средства

Спустя некоторое время после атаки ZachXBT заявил, что к атаке на Bybit причастны хакеры из Северной Кореи. По его словам, «ниточки» ведут к группе Lazarus, которая тесно связана с правительством страны и является фигурантом крупных инцидентов с кражей криптоактивов.

По ходу расследования аналитики пришли к выводу, что Lazarus заранее готовилась к атаке. Использование метода delegatecall в смарт-контрактах Safe{Wallet} позволило злоумышленникам исполнять чужой код, подменяя данные для подписантов.

Эксперты считают, что хакеры постепенно собирали подписи, вводя в заблуждение сотрудников Bybit через поддельные интерфейсы.

Еще одним ключевым фактором стала тактика фрагментированной атаки — Lazarus распределили взлом на несколько этапов, чтобы минимизировать вероятность мгновенного обнаружения. Таким образом, часть критически важных данных была получена еще до начала активной фазы атаки. Прежде чем биржа зафиксировала подозрительную активность, хакеры уже имели полный доступ к средствам, считают аналитики.

Вдобавок эксперты отметили, что взломщики не стали сразу отправлять активы в миксеры, а предпочли через децентрализованные биржи (DEX) постепенно конвертировать токены в Ethereum. Это позволяет предположить, что они готовились к длительному процессу отмывания средств, рассчитывая избежать автоматической блокировки адресов, подчеркнули аналитики.

В общей сложности хакеры завладели 401 347 ETH, 90 376 stETH, 15 000 cmETH и 8 000 mETH.

Ряд аналитиков, включая эксперта под ником Odysseus и основателя проекта DefiLlama — 0xngmi —, указывают на схожесть схемы взлома с другими атаками. В качестве примера, они приводят хакерский рейд на протокол Radiant с убытками в более чем $50 млн, а также взлом индийской биржи WazirX на $235 млн.

Реакция сообщества

Атака на биржу Bybit вызвала большой ажиотаж в криптосообществе. Компания призвала коллег по индустрии оказать посильную помощь в расследовании инцидента, а также запросила кредиты. Последние были необходимы для того, чтобы курс Ethereum не столкнулся с глобальной просадкой вследствие активного вывода пользовательских средств, отметили эксперты.

Крупные игроки рынка оказали поддержку команде платформы. По имеющейся информации, Bitget перевела на адрес Bybit порядка 40 тыс. Ethereum. Кредит также могли выделить такие компании, как Crypto.com и Binance. Вдобавок представители многих платформ заявили о немедленной блокировке любых адресов, связанных с хакерской атакой на Bybit.

«Мы будем блокировать любые транзакции, поступающие с незаконных адресов на биржу, после того, как они будут проверены. Наша команда по безопасности и исследователи в настоящее время отслеживают эту деятельность», — сказала генеральный директор Bitget Грейси Чен.

В расследование вовлечены команды безопасности крупных бирж — OKX и KuCoin, а также представители упомянутого проекта Safe. Все задействованные стороны работают над отслеживанием средств и поиском способов их возврата.

Большинство представителей криптосообщества также поддержали Bybit. Основатель Aave Стани Кулечов отметил, что скоординированные действия биржи и кредиторов помогли предотвратить повторение ситуации с FTX, а эксперт под ником 0xJeff назвал реакцию Бена Чжоу «примером грамотного антикризисного менеджмента».

Разделяя общее мнение, свои слова поддержки также высказали CEO EasyDNS Марк Джефтович, ведущий The Moon Show Карл Мун и руководитель глобальной поддержки венчурной фирмы Dragonfly Кейси Тейлор.

«Bybit только что провел мастер-класс по кризисным коммуникациям после крупнейшего взлома в истории криптовалют. Ситуация все еще актуальна, но им уже удалось успокоить рынки. Это поучительный момент для всех нас», — написала Тейлор.

На фоне инцидента курс Ethereum не показал резкого падения. Актив столкнулся с кратковременной коррекцией, однако впоследствии сумел удержать рубеж на уровне выше $2 700, по данным TradingView.

На момент подготовки материала курс Ethereum держится на отметке $2 738. Месячная просадка составляет 15,6%.

Читайте также: SEC согласилась прекратить дело против криптобиржи Coinbase

Тем не менее эксперты отмечают, что из-за череды инцидентов доверие к мультиподписным кошелькам, особенно с архитектурой Safe, могло пошатнуться. Аналитики прогнозируют, что после этого инцидента многие крупные игроки пересмотрят свою систему безопасности, делая ставку на децентрализованные решения и дополнительные уровни верификации.