Найти в Дзене
Про Крипто
6 подписчиков

Взлом биржи Bybit. День 2.

4 мин
Как мы уже писали ранее(Взлом биржи Bybit. День 1), 21 февраля произошёл самый большой взлом в истории криптовалют. Потери биржи Bybit составили почти 1.5 млрд. $. Сейчас уже можно с уверенностью говорить, что куш был сорван северокорейской группировкой Lazarus. При этом признаем, наш прогноз по развитию событий оказался неверным. Мы ожидали, что средства не будут двигаться в течении как минимум нескольких дней, но хакеры решили не откладывать дело в долгий ящик и почти сразу же принялись отмывать украденные активы. На вечер 22 февраля можно констатировать факт, что в движение пришли средства, лежавшие на адресах: Шаблон активности хакеров в обоих случаях один и тот же. Сначала средства переводятся долями от 10 до 200 ETH на новые аккаунты, откуда уже попадают в сервисы для обмена эфира на биткоины. Средства, лежавшие на аккаунте 0xaf620e6d32b1c67f3396ef5d2f7d7642dc2e6ce9, пока в основном переводятся на новые адреса, где происходит их перегруппировка. При этом 34 ETH уже перевели в се
Оглавление

Как мы уже писали ранее(Взлом биржи Bybit. День 1), 21 февраля произошёл самый большой взлом в истории криптовалют. Потери биржи Bybit составили почти 1.5 млрд. $. Сейчас уже можно с уверенностью говорить, что куш был сорван северокорейской группировкой Lazarus.

При этом признаем, наш прогноз по развитию событий оказался неверным. Мы ожидали, что средства не будут двигаться в течении как минимум нескольких дней, но хакеры решили не откладывать дело в долгий ящик и почти сразу же принялись отмывать украденные активы. На вечер 22 февраля можно констатировать факт, что в движение пришли средства, лежавшие на адресах:

  • 0xaf620e6d32b1c67f3396ef5d2f7d7642dc2e6ce9
  • 0x3a21f4e6bbe527d347ca7c157f4233c935779847

Шаблон активности хакеров в обоих случаях один и тот же. Сначала средства переводятся долями от 10 до 200 ETH на новые аккаунты, откуда уже попадают в сервисы для обмена эфира на биткоины.

Адрес 0xaf620e6d32b1c67f3396ef5d2f7d7642dc2e6ce9

Средства, лежавшие на аккаунте 0xaf620e6d32b1c67f3396ef5d2f7d7642dc2e6ce9, пока в основном переводятся на новые адреса, где происходит их перегруппировка. При этом 34 ETH уже перевели в сеть Bitcoin через биржу eXch.

-2

В сети Bitcoin средства находятся на адресах хакера и не переводятся на конкретные сервисы для обналичивания. При этом полученные биткоины были переведены на новые адреса.

-3

Адрес 0x3a21f4e6bbe527d347ca7c157f4233c935779847

В случае адреса 0x3a21f4e6bbe527d347ca7c157f4233c935779847 ситуация развивается более динамично. Хакеры перевели в сеть Bitcoin уже больше 450 ETH. Для этого использовался мост THORChain. Более того, через этот же сервис на биткоины были обменяны 300,000 DAI, которые хакеры получили в результате продажи части украденных ETH на децентрализованных биржах, таких как Uniswap.

-4

В сети Bitcoin средства пока лишь были переведены на новые промежуточные адреса хакеров. Какие-либо сервисы для обналичивания средств или обмена биткоинов на другие криптовалюты ещё не были задействованы.

-5

Спустя два дня после взлома уже можно сделать первые выводы и спрогнозировать дальнейшее развитие событий.

  • Хакеры продолжат переводить украденные активы в сеть Bitcoin. Возможно, именно после обмена украденных средств на биткоины хакеры сделают паузу, и средства будут находится в спящем режиме именно в сети Bitcoin.
  • Хакеры стараются избегать централизованных бирж. Взлом привлёк большое внимание криптовалютного сообщества. Централизованные биржи наверняка уже взяли на особый контроль ситуацию и отслеживают возможные движения украденных средств в свою сторону. Так как атаку осуществила группировка Lazarus, не стоит ждать добровольного возврата средств. Кроме того, члены Lazarus вряд ли будут пойманы, так же, как хакеры, взломавшие в 2016 году биржу Bitfinex. Северокорейские хакеры осуществили большое количество краж, и они разыскиваются почти по всему миру. Понимая это, хакеры вряд ли будут разъезжать по странам, где их ждёт "тёплый" приём и не менее "тёплая" камера тюрьмы. Поэтому единственный шанс изъять хотя бы часть украденных активов - это заморозить их на счетах централизованных бирж, в случае, если они будут туда отправлены. Но опять же, в данном случае мы имеем дело с опытными и профессиональными хакерами, которые таких ошибок допускать не будут.
  • Нельзя исключать, что хакеры будут делать перерывы в работе с эфиром. Украдено больше 490,000 ETH. Такую сумму будет сложно обменять на биткоины. В силу того, что в основном для обмена используется биржа eXch и мост THORChain, существует вероятность, что у данных сервисов возникнет нехватка нужного количества биткоинов. Кроме того, продажа такого большого количества эфира и покупка биткоинов за небольшой промежуток времени может повлиять на курсы монет, что будет невыгодно хакерам. Мы предполагаем, что хакеры будут переводить средства относительно небольшими порциями с возможными перерывами в данном процессе на несколько дней.
  • Хакерская группировка представляет собой организацию с большим количеством людей. При этом человеческий ресурс явно разделён на подразделения, каждое из которых занимается своей конкретной работой: группа, занимавшаяся взломом, скорее всего, несколько групп, занимающихся переводом средств из эфира в биткоин. Мы уверены, что в дальнейшем будут задействованы подразделения, которые будут заниматься отмыванием украденных средств в сети Bitcoin, возможно, с использованием криптовалютных миксеров и анонимизирующих сервисов. Более того, мы по-прежнему считаем, что, по крайней мере, часть средств будет в дальнейшем переведена в сеть Tron, и отмыванием в этой сети займётся ещё одно подразделение хакерской группировки Lazarus.

Таким образом, исходя из вышеописанного, Lazarus будут отмывать украденные средства Bybit ещё не одну неделю, а то и не один месяц. Поэтому мы продолжим следить за ситуацией и информировать Вас по мере поступления новой информации.