21 февраля 2025 года криптовалютная биржа Bybit подверглась масштабному хакерскому взлому. Злоумышленники, как выяснилось позже, связаны с северокорейской группировкой Lazarus и смогли вывести с биржи около $1,4–1,5 млрд в криптоактивах (прежде всего Ethereum и связанных токенов стейкинга ETH) . Этот инцидент стал крупнейшим взломом криптобиржи за всю историю – для сравнения, предыдущий «рекорд» ~$611 млн (взлом Poly Network в 2021) оказался в несколько раз меньше . ФБР официально подтвердило причастность Северной Кореи к атаке, классифицировав эту кампанию как операцию под кодовым названием TraderTraitor . Масштаб и дерзость взлома потрясли криптосообщество, вызвав обеспокоенность по поводу надежности централизованных бирж и ставя под угрозу репутацию Bybit.
Влияние на доверие пользователей и общественное мнение
Хакерская атака мгновенно подорвала доверие пользователей к Bybit. В первые же дни после взлома клиенты в панике вывели более $5 млрд средств с платформы , опасаясь за сохранность своих активов. Это свидетельствует о серьезном кризисе уверенности: значительная часть сообщества усомнилась в безопасности биржи и задумалась, стоит ли продолжать хранить активы на централизованных платформах. Тем не менее руководство Bybit предприняло оперативные шаги для удержания доверия. Соучредитель и CEO Бен Чжоу сразу выступил с обращением, уверив пользователей, что все клиентские средства в безопасности и обеспечены резервами 1:1 . Прозрачность в коммуникациях (регулярные обновления в социальных сетях, экстренные AMA сессии) помогла частично смягчить панику. Некоторые эксперты отметили, что решительные действия Bybit по покрытию ущерба и взаимодействию с сообществом могут в долгосрочной перспективе сохранить репутацию компании . В то же время звучала и критика: взлом такого масштаба породил вопросы о том, имелись ли упущения в безопасности Bybit. Публичное объявление Чжоу о «войне с Lazarus» получило смешанную реакцию – одни поддержали бескомпромиссную позицию, тогда как другие предупредили, что подобный вызов может сделать биржу мишенью для новых атак . В целом, общественное мнение разделилось: Bybit хвалят за оперативное реагирование, но сам инцидент надолго останется ударом по имиджу биржи, напоминающим пользователям о рисках хранения средств на централизованных платформах.
Финансовые потери и возможные судебные иски
В результате атаки Bybit лишилась около 447 тысяч ETH и связанных токенов (stETH, mETH и др.), что на момент события оценивалось в почти $1,5 млрд . По сути, за одну ночь биржа понесла колоссальный ущерб, превзойдя по масштабу даже громкие инциденты прошлого (для сравнения: Mt.Gox – ~$470 млн, Coincheck – ~$530 млн) . Однако критически важно, что финансового краха удалось избежать – Bybit подтвердила достаточность резервов для покрытия убытков. Бен Чжоу заверил, что биржа остается платежеспособной и «даже если украденные средства не будут возвращены, все клиентские активы по-прежнему обеспечены в соотношении 1:1» . Уже к 23 февраля платформа восполнила утраченное: было привлечено около 447 тыс. ETH из разных источников (включая инвестиционные фонды и партнерские биржи) для восстановления резервов . Иными словами, Bybit оперативно закрыла «дыру» собственными или заемными средствами, не допустив потери клиентских депозитов.
Тем не менее, финансовое напряжение ощущается. Биржа вынуждена прибегнуть к краткосрочным займам (bridge loans) от партнеров для поддержания ликвидности – под залог биткоинов и стейблкоинов . Также Bybit объявила о беспрецедентном вознаграждении в размере до $140 млн (10% от суммы ущерба) для экспертов по кибербезопасности и анализу блокчейна, которые помогут отследить и вернуть украденные активы . Эта крупная «наградная охота» свидетельствует, что биржа готова нести дополнительные расходы, лишь бы минимизировать итоговые потери. Что касается юридических последствий, прямых исков от клиентов, скорее всего, удастся избежать – пользователи не потеряли средства благодаря компенсации. Однако инцидент уже привлек внимание регуляторов и правоохранителей: ФБР опубликовало список подозрительных адресов и призвало индустрию содействовать расследованию . Внутри индустрии назревает спор между Bybit и ее кастодиальным партнером Safe (инфраструктура кошельков): обе стороны публично заявляют об отсутствии своей вины, перекладывая ответственность друг на друга . Этот конфликт может перерасти в судебное разбирательство, если стороны попытаются взыскать ущерб друг с друга. Таким образом, помимо прямых финансовых потерь, Bybit сталкивается с затратами на расследование и потенциальными юридическими спорами, которые еще некоторое время будут аукаться компании.
Влияние на цену связанных с Bybit токенов
Новость о рекордном взломе мгновенно отразилась на крипторынке. Инвесторы отреагировали распродажами: курс Ethereum просел примерно на 4%, а Bitcoin – на 1,5–2% вскоре после подтверждения утечки средств . Давление на цену ETH усугубилось тем, что хакеры начали активно обменивать похищенные stETH и другие токены на децентрализованных биржах – по оценкам, около $200 млн в стейковых токенах было быстро продано злоумышленниками . Эта принудительная ликвидация создала краткосрочное понижательное давление на привязанные активы.
Особенно показательна реакция токена Mantle (MNT), тесно связанного с Bybit (через экосистему BitDAO/Mantle, соучредителем которой выступала биржа). Вслед за взломом цена MNT упала примерно на 10%, отражая обеспокоенность инвесторов . Причиной панической распродажи стали новости о том, что среди украденных активов было ~15 тыс. токенов cmETH (стейкинговый дериватив в сети Mantle) на сумму ~$174 млн . Фактически, злоумышленники похитили ликвидность из Mantle-протокола, что ударило по доверию держателей MNT. Индикаторы рынка (например, индекс относительной силы RSI по MNT) моментально провалились в зону перепроданности, сигнализируя о панике . В последующие дни MNT частично отыграл просадку, когда первые шоки улеглись, однако инцидент подчеркнул взаимосвязь между безопасностью биржи и ценностью аффилированных проектов. Кроме того, сам по себе факт взлома крупной биржи усилил настроения избегать риска: на рынке в целом наблюдался кратковременный спад интереса к рискованным активам . В итоге, помимо прямых финансовых потерь, Bybit косвенно повлияла на рыночную капитализацию связанных токенов и вызвала волатильность, еще раз напомнив инвесторам о киберрисках в криптоиндустрии.
Ответные меры Bybit для восстановления репутации
Столкнувшись с кризисом, Bybit развернула масштабный план антикризисного управления, чтобы вернуть доверие пользователей и партнеров. Во-первых, биржа действовала прозрачно и открыто: уже в день взлома команда официально подтвердила инцидент, вместо того чтобы скрывать или затягивать с объяснениями . Все сервисы Bybit продолжили работу в обычном режиме – вывод средств не блокировался, напротив, биржа подчеркнуто быстро обработала свыше 350 тысяч заявок на вывод в течение первых 12 часов после атаки . Причем приоритет был отдан розничным клиентам перед VIP-инвесторами, чтобы мелкие держатели как можно скорее получили доступ к своим деньгам . Этот шаг показал ориентированность на интересы клиентов и помог предотвратить еще больший урон репутации.
Во-вторых, Bybit незамедлительно восполнила утраченные активы. Менее чем через двое суток биржа сообщила, что резервные фонды полностью восстановлены до уровня 100% обеспечения обязательств . Для этого Bybit привлекла ресурсы 13 сторонних организаций – от венчурных фондов до дружественных бирж – суммарно собрав ~447 тыс. ETH на баланс . Параллельно руководство объявило, что вскоре опубликует официальный отчет-аудит, подтверждающий наличие резервов и объясняющий детали случившегося .
Во-третьих, Bybit активизировала совместную с сообществом борьбу за возвращение средств. Бен Чжоу заявил о начале «войны против Lazarus» и запустил специальный сайт LazarusBounty для краудсорсинга расследования . На этом портале публикуются все обнаруженные адреса кошельков, связанных с группой Lazarus (на данный момент отслеживается более 6 300 адресов), и в режиме реального времени отображается прогресс заморозки средств . Пользователи могут подключить свои кошельки и сообщать информацию о подозрительных транзакциях; если по их наводке удается заморозить украденные активы, Bybit выплачивает вознаграждение в размере 5% от замороженной суммы . Кроме того, объявлена и более крупная награда – 10% от возвращенных средств (до $140 млн) получит любой, кто поможет непосредственно найти и возместить украденное . Такая щедрая программа поощрения беспрецедентна для индустрии и получила одобрение многих участников рынка как признак серьезности намерений Bybit.
Важно отметить, что усилия Bybit уже дали первые результаты. Благодаря скоординированной работе с эмитентами стейблкоинов (Tether, Circle) и другими площадками, удалось заморозить около $42–43 млн похищенных активов в первые же дни после взлома . В частности, эмитенты USDT/USDC заблокировали перемещение украденных стейблкоинов на своих адресах, а биржи Bitget и CoinEx, а также команды проектов THORChain, Avalanche, ChangeNOW, FixedFloat и др. помогали отслеживать и блокировать переводы . Эти совместные действия затруднили хакерам отмывание средств и продемонстрировали, что индустрия способна объединиться перед лицом угрозы. Bybit публично поблагодарила коллег за помощь и продолжает сотрудничество с правоохранительными органами (ФБР, Интерпол) для дальнейшего отслеживания украденного .
Наконец, для восстановления репутации Bybit предпринимает и внутренние шаги: проведен всесторонний форенزик-аудит безопасности, по итогам которого биржа планирует улучшить протоколы защиты. В официальном заявлении Bybit подчеркнула, что уязвимость возникла вне ее основных систем – в инфраструктуре стороннего кошелька – но, несмотря на это, она извлекает уроки и усилит безопасность во всех аспектах своей работы . Такой комплекс мер – от финансовых гарантий для пользователей до агрессивного преследования хакеров – призван не только решить краткосрочный кризис, но и показать сообществу долгосрочную приверженность Bybit обеспечению надежности сервиса.
Возможные изменения в бизнес-модели и стратегии безопасности
Атака стала тревожным сигналом, вынуждающим Bybit пересмотреть свою архитектуру безопасности и операционные процессы. Первое внимание – к системе хранения и перемещения средств. Взлом произошел во время рутинного перевода между холодным и горячим кошельком Bybit , причем хакеры смогли обманом добиться подписания вредоносной транзакции. По результатам расследования выяснилось, что были скомпрометированы учетные данные разработчика внешнего кошелькового сервиса Safe, что позволило взломать инфраструктуру кошелька и незаметно подсовывать Bybit транзакции на вывод средств злоумышленникам . Фактически, сотрудники Bybit стали жертвами атаки социальной инженерии и «слепой» подписи транзакции смарт-контракта без полного понимания ее содержания . Очевидно, что эти уязвимые места будут адресованы. Вероятно, Bybit ужесточит процедуру авторизации крупных выводов из холодных кошельков – введет мультиподписи с независимой проверкой каждым участником, дополнительные уровни подтверждения (вплоть до ручного, офлайн-режима) при перемещении больших сумм, а также запретит практику подписания транзакций смарт-контрактов без детальной проверки их параметров.
Кроме того, пересмотрена будет роль сторонних кастодиальных решений. До инцидента Bybit, судя по всему, использовала смарт-контракты Safe (мультисиг-кошельки) для управления резервами. Теперь же, когда между Bybit и компанией Safe возникло разногласие относительно виновника произошедшего , биржа может либо заменить провайдера кастодиальных услуг, либо перенести ключевую инфраструктуру хранения в полностью собственный периметр. Это может означать отказ от сложных смарт-контрактных кошельков в пользу более простых (но изолированных) холодных хранилищ с аппаратными модулями безопасности. Также неизбежно повышение требований к оповещениям и мониторингу: Bybit, вероятно, внедрит системы мгновенного обнаружения аномальных транзакций и блокировку при малейшем подозрении на компрометацию.
С точки зрения бизнес-модели, столь крупный инцидент, возможно, скорректирует приоритеты компании. Рост и экспансия временно уступят место укреплению надежности и соответствия требованиям регуляторов. Bybit уже подала заявку на получение лицензии VARA в Дубае , и теперь, чтобы удовлетворить регулятора, ей нужно продемонстрировать образцовые меры безопасности. Это может включать привлечение внешних аудиторов для регулярной проверки системы защиты, получение сертификатов (например, SOC 2) и создание резервного страхового фонда по аналогии с фондом SAFU у Binance. Финансово Bybit, возможно, перераспределит ресурсы: расходы на маркетинг и спонсорство могут быть сокращены (особенно учитывая завершение дорогого партнерства с Red Bull), а сэкономленные средства направлены на развитие внутренней службы кибербезопасности и найм специалистов.
Биржа также может пересмотреть некоторые продукты и услуги. Например, программа стейкинга ETH через Mantle (cmETH), вовлеченная во взлом, наверняка будет подвергнута аудиту или временно приостановлена, пока не будут гарантированы ее безопасность и изоляция от основных хранений биржи. Bybit, возможно, станет осторожнее интегрировать DeFi-протоколы и смарт-контракты в свою платформу без тщательной проверки. Стратегически компания может усилить фокус на управлении рисками: внедрить новые политики, ограничивающие объем средств, концентрируемых в одном холодном кошельке, диверсифицировать хранилища, расширить страховое покрытие.
В целом, опыт этого взлома, хотя и чрезвычайно болезненный, может привести к позитивным изменениям в работе Bybit. Биржа получила жестокий урок и теперь вынуждена эволюционировать – стать более консервативной и надежной в операциях. Если заявленные улучшения будут реализованы, Bybit сможет вернуть доверие, а ее случай послужит для всей индустрии стимулом пересмотреть стандарты безопасности и бизнес-процессы, связанные с хранением клиентских активов.
Влияние на партнерские отношения и регуляторные последствия
Масштабный инцидент неизбежно отразился на отношениях Bybit с партнерами и на позиции регуляторов. В некоторых аспектах кризис даже сплотил отрасль: ряд компаний незамедлительно пришли на помощь Bybit. Крупнейшие эмитенты стейблкоинов (Tether, Circle) заморозили токены на подозрительных адресах, биржи-конкуренты (например, Bitget) и блокчейн-проекты (Avalanche, THORChain и др.) активно участвовали в отслеживании средств . Этот эпизод продемонстрировал наличие у Bybit крепких связей в индустрии и готовность партнеров совместно противостоять угрозам. Такие коалиции в экстремальной ситуации, безусловно, укрепляют деловые отношения: Bybit наверняка ценит лояльность коллег и в будущем будет стремиться развивать эти партнерства, возможно, через взаимные соглашения о безопасности и экстренной поддержке.
С другой стороны, отдельные партнерские связи дали трещину. Остро встал вопрос об ответственности кастодиального провайдера Safe. Компания Safe (разработчик одноименных мультисиг-кошельков) в своем заявлении подчеркнула, что ее смарт-контракты уязвимостей не содержали, а атака стала результатом взлома устройства разработчика и компрометации аккаунта, управляемого Bybit . Bybit, в свою очередь, настаивает, что её собственные системы не были взломаны, намекая на вину сторонней инфраструктуры . Этот публичный обмен обвинениями создает напряженность между компаниями. Если ранее Bybit и Safe сотрудничали, то теперь их партнерство под вопросом – доверие подорвано. Вероятно, Bybit либо разорвет отношения с Safe, либо добьется от партнера существенного повышения уровня безопасности и компенсаций. В любом случае, данный инцидент станет предметом разборок, способных изменять расстановку сил на рынке кастодиальных решений (аналогично тому, как годом ранее после взлома WazirX шла взаимная критика между биржей и ее кастоди-провайдером Liminal) .
Коммерческие и маркетинговые партнерства Bybit также переживают переломный период. Еще до взлома, в начале 2025 года, Bybit завершила громкое спонсорское сотрудничество с командой «Формулы-1» Red Bull Racing, решив не продлевать контракт на новый сезон . Этот многомиллионный контракт (около $150 млн за 3 года) истек по окончании 2024 года, и на решение не продолжать, по сообщениям, повлияла неопределенность на крипторынке и пересмотр маркетинговой стратегии Bybit . Таким образом, в момент кризиса биржа уже оказалась без одного из главных своих партнеров, хотя и по независящим от хакеров причинам. В ближайшее время маловероятно, что Bybit будет заключать новые дорогостоящие партнерские сделки – репутационный ущерб и необходимость инвестировать в безопасность делают приоритетом внутреннее оздоровление, а не агрессивный пиар. Вдобавок, партнерские программы (например, реферальные сети, сотрудничество с трейдинговыми фирмами) могли пострадать: часть институциональных клиентов и маркет-мейкеров, вероятно, вывела ликвидность на фоне взлома. Bybit придется заново убеждать крупных игроков вернуться, возможно, предлагая улучшенные условия или гарантийные механизмы.
Что касается регуляторов, инцидент усилил их внимание к Bybit. Дубайское управление по виртуальным активам (VARA), в юрисдикции которого находится штаб-квартира Bybit, заявило, что «активно мониторит ситуацию» вокруг взлома . Представитель регулятора подтвердил, что Bybit пока не лицензирована VARA (заявка находится на рассмотрении) и подчеркнул, że регулятор будет внимательно следить за развитием событий, пока ситуация не стабилизируется . Это означает, что процесс получения лицензии может усложниться: вероятно, от Bybit потребуют внедрения дополнительных мер защиты, предоставления подробного отчета о расследовании инцидента и плана по предотвращению повторения. Регуляторы других стран также не останутся в стороне. Северокорейский след автоматически привлек международные органы: тот же ФБР фактически уже вовлечено, распространяя информацию по адресам хакеров . В перспективе возможны более жесткие требования к криптобиржам со стороны надзорных органов — например, обязательное страхование депозитов, проведение регулярных стресс-тестов кибербезопасности и более строгие правила хранения ключей. Bybit, стремясь выйти из кризиса, вероятно, пойдет навстречу регуляторам: компания заявила о готовности сотрудничать и делиться выводами расследования, что должно продемонстрировать ее благонадежность.
Можно сказать, что взлом поставил Bybit в двоякое положение на рынке. С одной стороны, проявилась поддержка сообщества и некоторых партнеров — совместная борьба против Lazarus даже укрепила имидж индустрии как сплоченной перед лицом угрозы. С другой стороны, бирже предстоит кропотливая работа по восстановлению доверия: нужно заново убедить бизнес-партнеров в надежности платформы и удовлетворить усиленные требования регуляторов. Успешное преодоление этих последствий станет решающим для будущего Bybit на глобальном криптовалютном рынке. Если биржа реализует обещанные реформы и докажет, что сделала выводы из случившегося, она может не только вернуть утраченные позиции, но и стать новым отраслевым эталоном в области безопасности и ответственности перед пользователями . Но до этого момента Bybit придется пройти через период повышенного контроля и осторожности со стороны всех стейкхолдеров.