Як вдалося зламати біржу
21 лютого низка ончейн-аналітиків забили на сполох, вказавши на підозрілу активність, пов'язану з одним із гаманців Bybit. Серед них був відомий криптодетектив ZachXBT, який повідомив про переказ 401 346 ETH на невідому адресу. Його заяви незабаром підтвердили інші експерти та моніторингові платформи.
Через 30 хвилин після появи чуток про злам платформи на зв'язок вийшов CEO Bybit Бен Чжоу. Він заявив, що біржа дійсно зазнала хакерської атаки. За його словами, під удар потрапив один із холодних гаманців, на якому знаходилися значні обсяги Ethereum.
Інцидент стався в той момент, коли розробники біржі займалися рутинним переказом коштів компанії, про який команда оголосила заздалегідь.
При цьому голова Bybit запевнив, що решта холодних гаманців платформи захищені, а користувачі зможуть безперешкодно виводити свої активи за потреби. Компанія зафіксувала понад 350 000 заявок на виведення коштів за 10 годин після злому. На ранок 22 лютого 99,994% із них встигли обробити, а близько 2 100 запитів залишалися в очікуванні.
Згідно з ранніми заявами Bybit, злом хакери могли здійснити через вразливість платформи з управління цифровими активами Safe. Проте команда проєкту заперечує це і стверджує, що не виявила доказів компрометації свого інтерфейсу. При цьому розробники повідомили про тісну роботу із представниками біржі.
Експерти з безпеки з проєкту SEAL 911 заявили, що хакери використовували метод підміни даних на рівні інтерфейсу користувача, так званий «сліпий підпис».
Шкідливе програмне забезпечення, впроваджене в систему, відобразило підроблені дані про транзакцію. Таким чином, особи, відповідальні за переказ, були впевнені, що переказують кошти на потрібний їм гаманець. Насправді вони схвалили дії хакерів, які негайно здійснили виведення коштів на свою адресу.
Надалі основну частину вкрадених активів було розподілено десятками нових гаманців і через децентралізовані біржі конвертовано в Ethereum, що ускладнило відстеження коштів.
Хто вкрав кошти
Через деякий час після атаки ZachXBT заявив, що до атаки на Bybit причетні хакери з Північної Кореї. За його словами, «ниточки» ведуть до групи Lazarus, яка тісно пов'язана з урядом країни та є фігурантом великих інцидентів із крадіжкою криптоактивів.
Під час розслідування аналітики дійшли висновку, що Lazarus заздалегідь готувалася до атаки. Використання методу delegatecall у смарт-контрактах Safe{Wallet} дозволило зловмисникам виконувати чужий код, замінюючи дані для підписантів.
Експерти вважають, що хакери поступово збирали підписи, вводячи в оману співробітників Bybit через підроблені інтерфейси.
Ще одним ключовим чинником стала тактика фрагментованої атаки — Lazarus розподілили зламування на декілька етапів, щоб мінімізувати ймовірність миттєвого виявлення. Таким чином, частина критично важливих даних була отримана до початку активної фази атаки. Перш ніж біржа зафіксувала підозрілу активність, хакери вже мали повний доступ до коштів, вважають аналітики.
До того ж експерти зазначили, що зломщики не відразу почали відправляти активи до міксерів, а воліли через децентралізовані біржі (DEX) поступово конвертувати токени в Ethereum. Це дозволяє припустити, що вони готувалися до тривалого процесу відмивання коштів, розраховуючи уникнути автоматичного блокування адрес, наголосили аналітики.
Загалом хакери заволоділи 401 347 ETH, 90 376 stETH, 15 000 cmETH та 8 000 mETH.
Низка аналітиків, включаючи експерта під ніком Odysseus та засновника проєкту DefiLlama — 0xngmi -, вказують на схожість схеми злому з іншими атаками. Як приклад, вони наводять хакерський рейд на протокол Radiant зі збитками понад $50 млн, а також злом індійської біржі WazirX на $235 млн.
Реакція спільноти
Атака на біржу Bybit викликала великий ажіотаж у криптоспільноті. Компанія закликала колег з індустрії надати посильну допомогу у розслідуванні інциденту, а також попросила кредити. Останні були необхідні для того, щоб курс Ethereum не зіткнувся з глобальним просіданням внаслідок активного виведення коштів, зазначили експерти.
Великі гравці ринку підтримали команду платформи. За наявною інформацією, Bitget переказала на адресу Bybit близько 40 тис. Ethereum. Кредит також могли виділити такі компанії, як Crypto.com та Binance. Також представники багатьох платформ заявили про негайне блокування будь-яких адрес, пов'язаних із хакерською атакою на Bybit.
«Ми блокуватимемо будь-які транзакції, які надходять з незаконних адрес на біржу, після того, як їх буде перевірено. Наша команда з безпеки та дослідники зараз відслідковують цю діяльність», — сказала генеральний директор Bitget Грейсі Чен.
До розслідування залучено команди безпеки великих бірж — OKX та KuCoin, а також представників згаданого проєкту Safe. Усі сторони працюють над відстеженням коштів та пошуком способів їх повернення.
Більшість представників криптоспільноти також підтримали Bybit. Засновник Aave Стані Кулечов зазначив, що скоординовані дії біржі та кредиторів допомогли запобігти повторенню ситуації з FTX, а експерт під ніком 0xJeff назвав реакцію Бена Чжоу «прикладом грамотного антикризового менеджменту».
Поділяючи спільну думку, свої слова підтримки також висловили CEO EasyDNS Марк Джефтович, провідний The Moon Show Карл Мун та керівниця глобальної підтримки венчурної фірми Dragonfly Кейсі Тейлор.
«Bybit щойно провів майстер-клас із кризових комунікацій після найбільшого злому в історії криптовалют. Ситуація все ще є актуальною, але їм вже вдалося заспокоїти ринки. Це повчальний момент для всіх нас», — написала Тейлор.
На тлі інциденту курс Ethereum не показав різкого падіння. Актив зіткнувся з короткочасною корекцією, проте згодом зміг утримати кордон на рівні вище $2 700, за даними TradingView.
На момент підготовки матеріалу курс Ethereum тримається на позначці $2 738. Місячне просідання становить 15,6%.
Читайте також: SEC погодилася припинити справу проти криптобіржі Coinbase
Проте експерти зазначають, що через низку інцидентів довіра до мультипідписних гаманців, особливо з архітектурою Safe, могла похитнутися. Аналітики прогнозують, що після цього інциденту багато великих гравців переглянуть свою систему безпеки, роблячи ставку на децентралізовані рішення та додаткові рівні верифікації.