Кража 1,5 миллиарда долларов у Bybit может стать крупнейшей кражей в истории криптовалют, побив рекорд кражи Axie в 2022 году. В настоящее время это событие вызвало панику на рынке, цена ETH резко колебалась, но пока не произошло оттока средств на уровне FTX в том году.
Иронично, что многие инвесторы только что получили часть компенсации от банкротства FTX. "Спустя 2,5 года, наконец-то получил компенсацию от FTX и положил ее на Bybit, а на следующий день горячий кошелек Bybit был украден", - это самая популярная шутка, распространявшаяся сегодня ночью, но за ней скрывается мрак для криптоиндустрии.
Кража произошла ночью
21 февраля в 23:00 крипто KOL Finish заявил, что согласно данным в сети, один многофункциональный адрес Bybit перевел ETH на сумму 1,5 миллиарда долларов на новый адрес.
Средства были переведены на новый адрес 0x47666fab8bd0ac7003bce3f5c3585383f09486e2, затем переведены на 0xa4b2fd68593b6f34e51cb9edb66e71c1b4ab449e, 0xa4 в настоящее время продает stETH и mETH в обмен на ETH.
"В настоящее время этот адрес использует 4 различных DEX, если они просто конвертируют LSD в нативный ETH, результаты выполнения транзакции будут ужасными (большие потери). Обычно такие объемы обрабатываются через внебиржевые сделки, поэтому это очень необычно."
Через полчаса CEO Bybit Бен Чжоу сообщил, что многофункциональный холодный кошелек ETH подвергся атаке подделкой, логика смарт-контракта была изменена, что позволило хакерам контролировать определенный кошелек и перевести весь ETH. Он заявил, что другие холодные кошельки в безопасности, вывод средств нормален, и они ищут помощь в отслеживании украденных средств, добавив: "Скоро начнем трансляцию, ответим на все вопросы!! Пожалуйста, следите за новостями."
См. также: (Временная шкала | Более 500,000 ETH украдено из Bybit, убытки составили 1,5 миллиарда долларов)
Самая большая кража в истории?
По данным EmberCN, из многофункционального холодного кошелька Bybit было украдено 514,000 ETH на сумму 1.429 миллиарда долларов. Хакеры уже распределили 490,000 ETH на 49 адресов (по 10,000 ETH на каждый). "Кроме того, еще 15,000 cmETH в данный момент находятся в процессе разморозки у хакеров (8-часовой период ожидания, не знаю, сможем ли мы это перехватить)."
Согласно данным CoinMarketCap, у Bybit было 16,2 миллиарда долларов резервных активов до хакерской атаки, украденные 1,4 миллиарда долларов составляют 8,64%. Это может быть крупнейшая кража в истории криптовалют, составляющая 16% от всех предыдущих атак на криптовалюты. Ранее самой крупной кражей криптовалюты было нападение на Ronin Network (Axie Infinity) 29 марта 2022 года, в результате которого было украдено около 620-625 миллионов долларов криптовалюты, включая 173,600 ETH и 25,5 миллиона долларов USDC.
После распространения новостей о краже ETH упала до уровня 2600 долларов.
Единственным кошельком, подвергшимся хакерской атаке, был холодный кошелек ETH, горячий кошелек Bybit, теплые кошельки и все другие холодные кошельки остались неповрежденными. По отзывам сообщества все выводы средств могли быть осуществлены нормально, время вывода составило менее 20 минут.
Некоторые члены сообщества также спросили ChatGPT и Grok о прогнозах годовых доходов и прибыли Bybit. Оба дали схожие результаты: годовой доход около 2 миллиардов долларов, годовая прибыль около 600 миллионов долларов.
"Bybit по-прежнему обладает платежеспособностью, даже если убытки, вызванные этой хакерской атакой, не могут быть восстановлены, все активы клиентов по-прежнему поддерживаются на уровне 1:1, мы можем покрыть эти убытки." Слова соучредителя Bybit стали более убедительными.
Причина кражи - многофункциональный кошелек Safe?
22 февраля основатель SlowMist Юй Сян опубликовал сообщение, в котором заявил, что методы хакерской атаки на Bybit аналогичны методам северокорейских хакеров. "Хотя на данный момент нет четких доказательств, методы, используемые для многофункциональной подписи Safe, и текущие схемы отмывания денег напоминают действия северокорейских хакеров."
Тем временем основатель DefiLlama указал, что методы атаки аналогичны хакерской атаке WazirX, связанной с Северной Кореей. Будьте бдительны.
В 23:44 в объявлении соучредителя и CEO Bybit Бена Чжоу говорилось: "Примерно час назад многофункциональный холодный кошелек ETH Bybit проводил транзакцию к нашему горячему кошельку. Похоже, что эта транзакция была замаскирована, все подписанты увидели поддельный интерфейс, отображающий правильный адрес, и URL-адрес исходил от Safe."
Однако информация о подписи должна была изменить логику смарт-контракта их холодного кошелька ETH. Это привело к тому, что хакеры контролировали их конкретный холодный кошелек ETH и перевели все ETH из кошелька на этот неподтвержденный адрес.
В ходе дальнейшего расследования SlowMist были обнаружены дополнительные детали уязвимости:
1) Вредоносный контракт был развернут 19 февраля 2025 года в 7:15:23 UTC:
https://etherscan.io/address/0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516…
2) 21 февраля 2025 года в 14:13:35 UTC хакеры использовали подписи трех владельцев, чтобы заменить реализацию Safe на вредоносный контракт:
https://etherscan.io/tx/0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882…
3) Затем хакеры использовали функции бэкдора "sweepETH" и "sweepERC20" в вредоносном контракте для кражи из горячего кошелька.
Этот метод имеет некоторые сходства с кражей Radiant Capital в октябре 2024 года:
В то время Radiant Capital столкнулся с уязвимостью безопасности, в результате которой было украдено около 50 миллионов долларов. Хакеры использовали вредоносное ПО, чтобы заразить устройства как минимум трех ключевых разработчиков, которые долгое время пользовались доверием сообщества DAO и использовали аппаратные кошельки для транзакций. Хакеры изменили интерфейс Safe{Wallet} (то есть Gnosis Safe), заставив жертв ошибочно думать, что действия законны, в то время как на самом деле за кулисами выполнялись злонамеренные транзакции.
Процесс атаки заключался в том, что на устройствах разработчиков было установлено высокотехнологичное вредоносное ПО, что привело к тому, что они случайно одобрили злонамеренные действия хакеров при подписании транзакций. Интерфейс Safe{Wallet} не показывал никаких аномалий, что не позволяло жертвам заметить, что транзакция была изменена. Хакеры использовали распространенные причины неудач транзакций (такие как колебания Gas, задержки синхронизации и т. д.), чтобы заставить разработчиков многократно подписывать, тем самым получая несколько действительных злонамеренных подписей. Несмотря на то, что транзакции были смоделированы и проверены с помощью таких инструментов, как Tenderly, из-за того, что вредоносное ПО манипулировало устройствами разработчиков, все результаты проверки по-прежнему показывали норму, что привело к тому, что атака не была обнаружена вовремя.
См. также: (Отчет о вскрытии Radiant Capital)
Все стрелы, похоже, указывают на многофункциональный кошелек Safe.
Safe - это самый часто используемый многофункциональный кошелек в экосистеме Ethereum, а также кошелек для крупных держателей. В этом году, когда Safe выпустил токены, в списке первых 100 адресов для аирдропа почти все были представителями проектов или институциональными игроками. Включая OP, Polymarket, Drukula, Worldcoin, Lido и др. См. также: (Safe скоро будет торговаться, обзор токеномики и экосистемы)
Изначально аудитория Safe была больше связана с DAO и проектами в криптосфере. Но по мере того, как криптоиндустрия вошла в следующий этап, традиционные финансы, традиционные учреждения, семейные фонды и старые деньги начали входить в игру, все больше традиционных учреждений начали использовать многофункциональные кошельки Safe, такие как семья Трампа.
Дизайн Safe значительно повысил безопасность управления средствами. Благодаря механизму многофункциональной подписи средства хранятся в адресах смарт-контрактов, и транзакции могут быть выполнены только при соблюдении предустановленного количества подписей (например, 3/10). Этот механизм эффективно снижает риск одной ошибки, даже если один из адресов подписания скомпрометирован, хакерам будет сложно получить достаточное количество подписей для завершения транзакции.
В настоящее время команда безопасности Safe заявляет: "Не было найдено доказательств взлома официального интерфейса Safe. Однако, в целях предосторожности, Safe{Wallet} временно приостановил некоторые функции." Они тесно сотрудничают с Bybit и продолжают расследование.
Некоторые члены сообщества начали шутить над Safe: многофункциональная подпись - это всего лишь "декорация, чтобы закрыть уши перед грабежом". В то же время многие работники отрасли выразили свои размышления и обеспокоенность о будущем: "Если многофункциональные кошельки не безопасны, кто тогда будет серьезно относиться к этой отрасли?" |
В настоящее время расследование продолжается, будем следить за развитием событий.