Добавить в корзинуПозвонить
Найти в Дзене
ТехноLOG
39 подписчиков

Взлом ByBit: технический анализ от команды Safe Wallet

2
4 мин
Недавно криптовалютное сообщество столкнулось с новым серьезным инцидентом безопасности — взломом биржи ByBit, в результате которого злоумышленники получили доступ к средствам на Ethereum-адресах компании. Команда Safe Wallet, чьи смарт-контракты использовались ByBit для хранения активов, опубликовала подробный Postmortem, объясняющий технические аспекты произошедшего. В феврале 2025 года биржа ByBit подверглась хакерской атаке, в результате которой были скомпрометированы мультиподписные кошельки компании, работающие на базе смарт-контрактов Safe. Точная сумма похищенных средств составила около 1,4 млрд долларов в эквиваленте Ethereum и других ERC-20 токенов. Эти средства были выведены через несколько транзакций на адреса, контролируемые злоумышленниками. Bybit: внутренний разбор инцидента и ключевые выводы Согласно расследованию Safe, основная причина взлома заключалась не в уязвимости самого протокола Safe, а в неправильной организации процесса управления приватными ключами со сторон
Оглавление

Недавно криптовалютное сообщество столкнулось с новым серьезным инцидентом безопасности — взломом биржи ByBit, в результате которого злоумышленники получили доступ к средствам на Ethereum-адресах компании. Команда Safe Wallet, чьи смарт-контракты использовались ByBit для хранения активов, опубликовала подробный Postmortem, объясняющий технические аспекты произошедшего.

Хронология инцидента и масштаб потерь

В феврале 2025 года биржа ByBit подверглась хакерской атаке, в результате которой были скомпрометированы мультиподписные кошельки компании, работающие на базе смарт-контрактов Safe. Точная сумма похищенных средств составила около 1,4 млрд долларов в эквиваленте Ethereum и других ERC-20 токенов. Эти средства были выведены через несколько транзакций на адреса, контролируемые злоумышленниками.

Bybit: внутренний разбор инцидента и ключевые выводы

Технический анализ уязвимости

Согласно расследованию Safe, основная причина взлома заключалась не в уязвимости самого протокола Safe, а в неправильной организации процесса управления приватными ключами со стороны биржи. Safe — это мультиподписный смарт-контракт, требующий подтверждения операций несколькими ключами для выполнения транзакции.

Команда Safe выявила следующие критические проблемы:

  1. Централизация хранения приватных ключей: Несмотря на использование мультиподписной схемы (3-из-5), ByBit хранил несколько приватных ключей на одном сервере, что нивелировало преимущества мультиподписной схемы защиты.
  2. Отсутствие аппаратных модулей безопасности (HSM): В отличие от рекомендуемых практик, биржа не использовала аппаратные модули безопасности для защиты критических ключей, что значительно увеличило риск компрометации.
  3. Неэффективная система мониторинга: Система обнаружения подозрительных транзакций не сработала вовремя, что позволило злоумышленникам провести несколько последовательных транзакций до обнаружения проблемы.

Механизм атаки

По данным технического анализа Safe, атака происходила в несколько этапов:

  1. Первоначальное проникновение в инфраструктуру ByBit через фишинговую атаку на сотрудника с административным доступом.
  2. Получение доступа к серверу, где хранились приватные ключи для мультиподписного кошелька.
  3. Компрометация трех из пяти ключей, необходимых для подписания транзакций (требовалось минимум 3 подписи).
  4. Создание и подписание транзакций для вывода средств на контролируемые хакерами адреса.

Особенно важно отметить, что злоумышленники использовали правильные сигнатуры, создаваемые скомпрометированными ключами, что делало транзакции технически корректными с точки зрения смарт-контракта Safe.

Хронология событий
Хронология событий

Рекомендации по безопасности от Safe

На основе анализа инцидента команда Safe выпустила обновленные рекомендации для институциональных пользователей своих решений:

  1. Распределенное хранение ключей: Физическое разделение приватных ключей на разных устройствах и в разных географических локациях.
  2. Обязательное использование HSM: Применение аппаратных модулей безопасности для хранения и использования приватных ключей без их извлечения.
  3. Внедрение временной задержки транзакций: Использование функционала Safe, позволяющего установить временную задержку для крупных транзакций, что дает возможность обнаружить и отменить подозрительные операции.
  4. Внедрение системы белых списков адресов: Ограничение списка адресов, на которые могут быть отправлены средства без дополнительных проверок.
  5. Мониторинг критических транзакций: Использование специализированных сервисов для отслеживания активности мультиподписных кошельков в реальном времени.

Ответные меры ByBit

После инцидента ByBit предприняла ряд шагов:

  1. Полностью обновила инфраструктуру управления ключами.
  2. Внедрила новую мультиподписную схему с более высоким порогом подписей (5-из-7).
  3. Компенсировала пользователям все потерянные средства из страхового фонда биржи.
  4. Наняла нескольких специалистов по безопасности из ведущих компаний отрасли.

Технические детали для продвинутых пользователей

Для более глубокого понимания проблемы, команда Safe представила технический анализ транзакций:

  • Уязвимые кошельки использовали версию Safe 1.3.0, которая сама по себе не содержала уязвимостей.
  • Атакующие использовали стандартный метод execTransaction(), предоставляя корректные сигнатуры от скомпрометированных ключей.
  • Для вывода средств использовались обычные вызовы функций transfer() и transferFrom() для ERC-20 токенов.
  • Первоначальные транзакции были замаскированы под обычные операции биржи, с использованием типичных для ByBit газовых лимитов и временных паттернов.

Certik: Технический анализ инцидента с Bybit (професиональный взгляд от компании проверки безопасности кода блокчейнов)

Уроки для индустрии

Этот инцидент подчеркивает несколько важных моментов для всей криптоиндустрии:

  1. Мультиподписные кошельки обеспечивают высокий уровень безопасности только при правильной организации процессов управления ключами.
  2. Даже самые надежные технические решения могут быть скомпрометированы через человеческий фактор и неправильные операционные практики.
  3. Необходимо развивать культуру безопасности внутри организаций, особенно у персонала с административным доступом.
  4. Комплексный подход к безопасности должен включать не только технические меры, но и организационные процедуры и обучение персонала.

Выводы

Расследование Safe Wallet демонстрирует, что причиной взлома ByBit стала не техническая уязвимость в протоколе Safe, а нарушение рекомендуемых практик безопасности при управлении ключами со стороны биржи. Этот случай служит важным напоминанием всем участникам криптоиндустрии о необходимости комплексного подхода к безопасности.

Для обычных пользователей криптовалют этот инцидент также подчеркивает важность выбора надежных бирж с прозрачными процессами обеспечения безопасности и страховыми фондами для компенсации возможных потерь.

1