Взлом криптобиржи Bybit

21 февраля 2025 года криптовалютная биржа Bybit подверглась масштабной хакерской атаке, в результате которой было похищено около 401 000 ETH, что эквивалентно приблизительно 1,4 миллиарда долларов США. Этот инцидент стал крупнейшей кражей в истории криптовалютной индустрии.

Детали атаки на биржу Bybit

Перед инцидентом биржа планировала перемещение средств с холодного кошелька в рамках плановой процедуры. В этот момент злоумышленники использовали сложную технику, известную как "подделка пользовательского интерфейса" (UI spoofing). Они внедрили поддельный интерфейс, имитирующий официальный сервис Safe (ранее Gnosis Safe), который используется для управления мультиподписными кошельками.

В результате сотрудники Bybit, отвечающие за подтверждение транзакций, видели корректный адрес получателя и доверяли интерфейсу, не подозревая о подмене. Фактически же подписанная транзакция содержала измененный смарт-контракт, позволяющий хакерам получить полный контроль над холодным кошельком Ethereum биржи.

По данным аналитиков, украденные ETH распределили между 39 различными адресами, поскольку злоумышленник, по-видимому, пытал запутать поток средств, чтобы их было сложнее отследить.

Реакция Bybit на взлом

Генеральный директор Bybit, Бен Чжоу, подтвердил факт взлома и заверил пользователей, что остальные холодные кошельки биржи остаются в безопасности, а вывод средств работает в штатном режиме. Он подчеркнул, что активы клиентов полностью обеспечены в соотношении 1:1, и даже в случае невозможности возврата украденных средств, биржа способна покрыть убытки за счет собственных резервов.

26 инструментов для заработка на инвестициях

которые мы применяем в Клубе инвесторов

Скачать файл

Для лучшего понимания ситуации важно разобраться в некоторых терминах:

В данном случае хакеры использовали поддельный интерфейс, чтобы обмануть сотрудников Bybit, заставив их подписать транзакцию, которая предоставила злоумышленникам доступ к средствам биржи.

Связь атаки на Bybit с Lazarus Group

Согласно данным аналитического сервиса Arkham Intelligence, за взломом Bybit стоит хакерская группа Lazarus Group, связанная с правительством Северной Кореи. Расследование показало, что украденные средства были связаны с ранее совершенными атаками этой группировки. Анализ транзакций в блокчейне выявил следы, ведущие к тем же кошелькам, которые использовались при взломе сингапурской криптобиржи Phemex в январе 2025 года, когда было похищено 85 миллионов долларов.

Псевдонимный аналитик ZachXBT подтвердил эту связь, опубликовав анализ тестовых транзакций, используемых хакерами перед атакой.

Arkham объявил вознаграждение в размере 30 000 долларов в токенах ARKM за дополнительную информацию, способную привести к идентификации злоумышленников.

Северокорейская Lazarus Group известна как одна из самых активных и технически продвинутых кибергрупп, занимающихся криптовалютными атаками. В 2024 году они украли более 1,3 миллиарда долларов, что составило 61% всех похищенных цифровых активов в мире. Используя сложные методы социальной инженерии, фишинг и эксплойты в блокчейне, они нацелены на криптовалютные платформы и пользователей по всему миру.

Эксперты отмечают, что вероятность возврата похищенных средств крайне мала. В отличие от других преступных группировок, на Lazarus невозможно оказать правовое или дипломатическое давление, учитывая закрытый характер Северной Кореи.

Последствия взлома Bybit для криптоинвесторов

Биржа предприняла активные шаги для восстановления утраченных средств и обеспечения безопасности пользователей.

Генеральный директор Bybit, Бен Чжоу, сообщил сегодня, что платформа полностью вернулась к 100%-ному обеспечению клиентских средств в соотношении 1:1. Это стало возможным благодаря прямой покупке криптовалют, привлечению кредитов и сотрудничеству с партнерами. В общей сложности было восстановлено почти 447 000 ETH из 13 различных источников, включая венчурные компании и другие криптобиржи.

Несмотря на эти усилия, инцидент подчеркивает риски хранения цифровых активов на централизованных платформах. В подобных ситуациях рекомендуется использовать личные кошельки, особенно аппаратные (холодные) кошельки, которые обеспечивают офлайн-хранение приватных ключей. Это значительно снижает вероятность компрометации и потери средств, предоставляя пользователям полный контроль над своими цифровыми активами.

В целом, хотя централизованные биржи предлагают удобство и широкий спектр услуг, самостоятельное хранение криптовалюты является более безопасным вариантом для долгосрочных инвестиций и защиты от потенциальных угроз.

Выводы и рекомендации

Этот инцидент подчеркивает необходимость усиления мер безопасности даже для крупных и авторитетных криптовалютных платформ. Использование мультиподписных кошельков и холодного хранения средств является стандартной практикой, однако атака на Bybit показала, что даже такие меры могут быть проигнорированы  при использовании сложных методов социальной инженерии и подделки интерфейсов.

Для инвесторов и пользователей криптовалют важно помнить о следующих рекомендациях:

В целом, хотя криптовалютная индустрия предлагает множество возможностей для инвестиций, она также сопряжена с определенными рисками. Осведомленность и соблюдение мер предосторожности помогут минимизировать потенциальные угрозы и защитить ваши цифровые активы.

 Научиться технологии безопасных и прибыльных инвестиций в криптовалюту (от базовых технических моментов, до первых покупок и составления портфеля из криптовалют) можно на нашем специальном курсе  "Разумный криптоинвестор".  На курсе мы подробнорассказываем о лучших практиках безопасности, средствах защиты от мошенничества и уязвимостей, а также поделимся актуальными рекомендациями, которые помогут вам избежать ошибок в мире криптовалют.

Познакомиться с нами и нашими результатами инвестирования (в активы фондового рынка и криптовалюту) можно на наших открытых вебинарах для инвесторов. Записаться на очередной открытый урок можно по ссылке.