1. Введение
21 февраля 2025 года произошла одна из крупнейших краж криптовалют в истории. Хакеры из северокорейской группировки Lazarus похитили 0.42% всего Ethereum в обращении, что составило около 1.4 млрд долларов. Этот объем активов превышает владения таких крупных держателей, как создатель Ethereum Виталик Бутерин и фонд Fidelity.
В отличие от классических атак на биржи, здесь не было:
- Взлома кода;
- Утечки приватных ключей;
- Манипуляций со смарт-контрактами.
Хакеры добились одобрения транзакции сотрудниками Bybit через мультиподписной кошелек (multisig wallet), не подозревающими, что они фактически переводят средства злоумышленникам.
2. Как хакеры организовали атаку
Атака была тщательно спланирована и состояла из нескольких ключевых этапов.
2.1. Идентификация подписантов (multisig signers)
Хакеры заранее выяснили, какие сотрудники Bybit отвечают за подтверждение крупных транзакций. Это могло произойти через:
- Внутреннюю утечку данных;
- Социальную инженерию (анализ поведения сотрудников, фишинг);
- Вредоносное ПО, установленное на устройствах подписантов.
2.2. Внедрение в инфраструктуру биржи
После сбора информации злоумышленники получили доступ к внутренней сети Bybit. Это, вероятно, произошло через фишинг-атаки или установку вредоносного ПО. Они следили за поведением сотрудников и выбрали подходящий момент для атаки.
2.3. Маскировка транзакции
Хакеры использовали метод подмены данных, показывая сотрудникам Bybit стандартный интерфейс с правильными суммами и адресами. Однако внутри смарт-контракта происходил скрытый перевод средств на кошельки злоумышленников.
2.4. Одобрение транзакции
Все подписанты утвердили перевод, считая его стандартной операцией. Если бы хотя бы один из них отказался подписывать транзакцию, атака бы провалилась.
3. Что случилось после взлома?
- Lazarus перевели средства на 53 разных кошелька.
- Они традиционно не спешат с обналичиванием средств, а держат часть активов долгие годы.
- По данным Chainalysis, у них остаются неотмытые активы на сумму $55 млн с взломов шестилетней давности.
4. Почему Bybit не смогла предотвратить атаку?
Основной причиной успеха атаки стал человеческий фактор. Биржа обеспечила надежную техническую защиту, но хакеры переиграли сотрудников, заставив их одобрить фальшивую транзакцию.
Дополнительные уязвимости:
- Отсутствие многоуровневой проверки транзакций сверх определенной суммы.
- Недостаточный контроль за поведением сотрудников и подозрительными действиями в системе.
- Возможный компрометированный доступ к корпоративной почте и рабочим аккаунтам.
5. Реакция Bybit и криптоиндустрии
После инцидента биржа предприняла следующие меры:
- Не закрыла вывод средств, несмотря на массовую панику клиентов (за 10 часов обработано более 350 000 заявок).
- CEO компании активно информировал пользователей о развитии ситуации в соцсетях.
- Крупные криптобиржи оказали поддержку Bybit, предоставив ей ликвидность, некоторые – на беспроцентной основе.
6. Выводы и меры безопасности
- Социальная инженерия остается главным инструментом хакеров – технические меры защиты не всегда спасают от человеческих ошибок.
- Компаниям следует усиливать контроль за операциями внутри системы и вводить дополнительные уровни авторизации для крупных переводов.
- Сотрудники криптобирж должны проходить регулярное обучение по кибербезопасности, чтобы не стать жертвами хакеров.
Этот взлом показывает, что даже самые крупные биржи могут стать жертвами хорошо спланированных атак. Вопрос лишь в том, какие меры они принимают, чтобы не допустить повторения подобных инцидентов.
Источник информации: https://winsystem.xyz/