Взлом Bybit: что произошло, кто это сделал, что будет дальше

Пятничный взлом Bybit стал черным днем для криптоиндустрии – и это стало показательным моментом по двум направлениям.

Первое, прецедент показал, что даже биржи с надежными мерами безопасности уязвимы для изощренных атак. Второе – эволюционирующая тактика взломов означает, что северокорейские хакеры представляют собой растущую угрозу, а их кражи с каждым годом становятся все более масштабными и частыми.

Это был крупнейший взлом в истории криптовалюты, когда $1,4 млрд исчезли в мгновение ока, что значительно затмило $625 млн, украденных из сети Ronin почти три года назад.

Здесь Cryptonews расскажет вам все, что мы знаем об атаке на данный момент, включая то, что произошло, кто был ответственен и более широкое влияние на отрасль.

Взлом

Вскоре после того, как начали распространяться сообщения о взломе, Bybit опубликовала заявление в социальной сети, подтверждающее, что несанкционированная активность была обнаружена в одном из его холодных кошельков ETH.

В то время осуществлялся обычный перевод на горячий кошелек, и транзакция предварительно прошла несколько проверок.

Генеральный директор Bybit Бен Чжоу был последним, кто подписал контракт, и после проведения серии проверок безопасности он был удовлетворен тем, что все выглядело в порядке. Но хотя для перевода было указано правильное место назначения, закулисные манипуляции означали, что средства действительно были отправлены на кошелек хакеров.

Chainalysis говорит, что первоначальный компромисс был достигнут с помощью социальной инженерии, и сказал:

“Хакеры получили доступ к пользовательскому интерфейсу Bybit, выполнив фишинговые атаки против подписчиков “холодного кошелька”, что привело их к подписанию вредоносных транзакций, которые заменили контракт Safe на внедрение кошелька с несколькими подписями на вредоносный”.

В разговоре Spaces в социальной сети Чжоу рассказал, что ему позвонил его финансовый директор через 30 минут после завершения транзакции.

“Я чувствую, что что-то не так, потому что парня просто трясло. … он почти не может говорить. “Бен, возникла проблема … нас могли взломать “.

Генеральный директор сказал, что сначала он думал, что пострадали 30 000 ETH на сумму около $82 млн, но затем ему сообщили, что в этом холодном кошельке хранилось 401 000 ETH. Все это исчезло.

“У меня была ошеломляющая одышка, я задыхался. Примерно пять секунд я ничего не говорил. Думаю, примерно через 10 секунд я сказал себе, что мне нужно прийти в себя “.

Чжоу сказал, что он немедленно ввел в действие протоколы безопасности, которые репетировались раз в месяц, и он использовал кнопку, позволяющую ему разбудить всех в компании, а также высшее руководство. На тот момент исполнительный директор сказал, что его главным приоритетом было не вернуть $1,4 млрд, а защитить репутацию Bybit.

Была спешно организована прямая трансляция, чтобы Чжоу мог ответить на вопросы клиентов Bybit, но были две вещи, которые он хотел подчеркнуть для клиентов: все остальные холодные кошельки были в порядке, и биржа смогла покрыть убытки, потому что активы клиентов обеспечены по принципу “один к одному”.

Перед началом этой трансляции Чжоу написал сообщение сотрудникам, в котором говорилось::

“Дорогие друзья, поймите, что сейчас трудные времена. Я ценю, что все вы стоите в очереди. Нам предстоят трудные 24-48 часов, но я уверен, что мы справимся. Пожалуйста, убедитесь, что мы остаемся профессионалами и спокойно относимся ко всем клиентам и внешним партнерам. Мы сделаем все возможное, чтобы сохранить вывод средств. В то же время, я хочу сказать, что даже при такой сумме убытков все активы клиента будут покрыты. Настало время своевременно отвечать на вопросы клиентов и быть рядом с нашими клиентами, и мы будем использовать прозрачность и коммуникацию, чтобы развеять сомнения у наших клиентов “.

Чжоу точно предвидел, что произойдет — и в конечном счете, похоже, Bybit удалось выполнить это обещание. Позже биржа сообщила, что она обработала 350 000 запросов на вывод средств в течение первых 10 часов после взлома, и 580 000 были успешно завершены к субботе. Как только это отставание было устранено, компания заявила, что все ее системы работают в штатном режиме.

Поддержание этой ауры “бизнеса как обычно” имело значение, поскольку в прошлом многие торговые платформы внезапно прекращали вывод средств – и в случае с FTX это стало предвестником длительного и грязного банкротства.

Данные DeFiLlama показывают, что до взлома общий объем активов Bybit составлял около 17 миллиардов долларов, но к воскресенью этот показатель упал до 10,8 миллиарда долларов, поскольку клиенты спешили снять средства со своих счетов. По состоянию на вторник эта цифра немного подскочила — до 11,5 миллиарда долларов.

Хакеры

Пока Bybit спешила успокоить клиентов и рынки, сетевые следователи тоже приступили к работе — и выясняли, кто несет ответственность.

В течение нескольких часов после взлома на сумму 1,4 миллиарда долларов ZachXBT обнаружил неопровержимые доказательства того, что за этим эксплойтом стоит Lazarus Group. Это команда, которая имеет тесные связи с правительством Северной Кореи, а официальные лица США утверждают, что украденная криптовалюта в конечном итоге отмывается, обналичивается и используется для финансирования программ изолированного государства по созданию баллистических ракет и оружия массового уничтожения.

Следы Lazarus Group были обнаружены в одних из крупнейших взломов, потрясших криптоиндустрию в последние годы, включая кражу на 234 миллиона долларов у WazirX в начале этого года, 100 миллионов долларов, украденных у Atomic Wallet и Horizon, и ошеломляющую кражу на 625 миллионов долларов из Ronin Network.

Хотя криптотранзакции в определенной степени отслеживаются, миксеры и децентрализованные биржи позволяют этим киберпреступникам скрывать источник средств, создавая впечатление, что они исчезли бесследно. Анализируя тактику Lazarus после атаки на Ronin, старший директор по расследованиям Chainalysis Эрин Планте сказала:

“Они перемещают средства очень быстро и пропускают их через множество различных типов маскировки, чтобы добраться до точки, где они могут попытаться быстро обналичить их. Они надеются, что расследования отстают на несколько этапов, потому что они будут удерживать средства в замораживаемом состоянии — например, в стейблкоине или на централизованной бирже — всего пять или десять минут. И они надеются, что они продвинулись достаточно далеко впереди следователей и провели достаточно отмывания, чтобы сервисы не знали, куда они в конечном итоге ведут”.

Arkham Intelligence отслеживает, что происходит с 401 000 ETH, украденными у Bybit, отображая созвездие кошельков, куда до сих пор распределялась криптовалюта. В своем отчете они написали:

“Хакер Bybit совершает 2-3 транзакции в минуту и останавливается каждые 45 минут на 15-минутный перерыв. Они перемещают ETH с одного адреса за раз, прежде чем перейти к следующему”.

На данный момент похоже, что Lazarus Group в основном обменивала украденный Ether на Bitcoin, а также на стейблкоин DAI. Децентрализованные биржи, кроссчейн-мосты и сервисы мгновенного обмена, которые не реализуют проверки Know Your Customer, использовались для перемещения средств между блокчейнами.

Но, конечно, 1,4 миллиарда долларов — это много денег, и Chainalysis предупреждает, что хакеры не побоятся оставить часть этой криптовалюты в состоянии покоя на некоторое время.

“Задерживая усилия по отмыванию, они стремятся переждать усиленное внимание, которое обычно сразу следует за такими громкими взломами”.

Контратака

Bybit запустила программу вознаграждений, предназначенную для поощрения экспертов по безопасности, которые помогут вернуть эту украденную криптовалюту — это означает, что они получат 10% от любых возвращенных средств. Это означает, что на кону стоит до 140 миллионов долларов.

Но пока прогресс был довольно ограниченным. К воскресенью было заморожено или возвращено всего 85 миллионов долларов из средств, украденных Lazarus Group… что составляет едва 5% от пропавшего.

В понедельник биржа заявила, что ей также удалось полностью закрыть ETH-пробел в клиентских активах в течение 72 часов, добавив, что “стратегические партнерства с такими фирмами, как Galaxy Digital, FalconX и Wintermute, а также поддержка со стороны Bitget, MEXC и DWF Labs, помогли Bybit пополнить резервы в рекордно короткие сроки”.

Это было подкреплено аудитом Hacken, который подтвердил, что криптоплатформа — вторая по величине в мире по объемам торгов — “обладает достаточными резервами для покрытия активов пользователей в соотношении 1:1 по всем направлениям”.

Bybit запустила Proof of Reserves в прямой ответ на взлом FTX и в то время заявила, что “выкладывание всего на стол удерживает криптобиржу от совершения секретных финансовых транзакций”.

Чжоу спросили в X, верит ли он, что у его биржи есть шанс вернуть украденную криптовалюту, и есть ли смысл привлекать правоохранительные органы. Он сказал:

“Мы постараемся сделать все возможное… Я предполагаю, что хакерам потребуется много, много времени, чтобы отмыть эти деньги. Мы надеемся, что, создав им достаточно проблем, они, возможно, рассмотрят возможность возврата их в какой-то момент… Сингапурская полиция отнеслась к этому серьезно и уже передала дело на уровень Интерпола”.

Судя по всему, на данный момент любые шансы на то, что Lazarus Group осознает ошибочность своих действий и вернет криптовалюту, выглядят крайне маловероятными.

Ответный удар

Сейчас Bybit запустила баунти-программу, предназначенную для вознаграждения экспертов по безопасности, которые помогают восстановить эту украденную криптовалюту, что означает, что они получат 10% от любых восстановленных средств. Здесь можно получить до $140 млн.

Но пока прогресс довольно медленный. К воскресенью только $85 млн долларов из средств, взятых Lazarus Group, были заморожены или возвращены … что составляет едва ли 5% от того, что пропало.

В понедельник биржа заявила, что ей также удалось полностью закрыть дефицит ETH в клиентских активах в течение 72 часов, добавив, что “стратегическое партнерство с такими компаниями, как Galaxy Digital, FalconX и Wintermute, наряду с поддержкой Bitget, MEXC и DWF Labs, помогло Bybit пополнить резервы в рекордно короткие сроки”.

Это было подкреплено аудитом Hacken, который подтвердил, что криптоплатформа, которая является второй по величине в мире по объемам торгов, “обладает достаточными резервами для покрытия активов пользователей 1: 1 по всем направлениям”.

Bybit запустила Proof of Reserves (Доказательство Резервов) в прямой ответ на взлом FTX — и в то время заявила, что “выкладывание всего на стол удерживает криптобиржу от совершения секретных финансовых транзакций.”

Чжоу спросили в социальной сети, верит ли он, что у его биржи есть шанс вернуть украденную криптовалюту — и есть ли смысл привлекать правоохранительные органы. Он сказал:

“Мы постараемся сделать все возможное… Я предполагаю, что хакерам потребуется много, много времени, чтобы отмыть эти деньги. Мы надеемся, что, создав им достаточно проблем, они, возможно, рассмотрят возможность возврата их в какой-то момент… Сингапурская полиция отнеслась к этому серьезно и уже передала дело на уровень Интерпола.”

Судя по всему, на данный момент любые шансы на то, что Lazarus Group осознает ошибочность своих действий и вернет криптовалюту, выглядят крайне маловероятными.

Угроза

Chainalysis уже давно следит за Lazarus Group, и ясно видно, что их взломы криптобирж участились.

Северная Корея была ответственна примерно за две трети средств, украденных из этой отрасли в 2024 году, но это не раскрывает всей истории.

Примерно $660 млн было украдено Lazarus в ходе 20 инцидентов в 2023 году, увеличившись до $1,34 млн в результате 47 взломов в прошлом году. Всего за два месяца до 2025 года этой группе удалось побить рекорды – и это благодаря всего одной атаке.

Сейчас внимание переключается на то, можно ли предотвратить подобные атаки в будущем и являются ли криптобиржи безопасной средой для хранения инвесторами своих активов.

Генеральный директор Ledger Паскаль Готье заявил, что торговым платформам необходимо полностью пересмотреть свои меры безопасности и осуществить согласованный переход к новым подходам, таким как “Четкая подпись”. В социальной сети он написал:

“Безопасность не стоит на месте — злоумышленники становятся умнее, и наша отрасль должна оставаться впереди, применяя самые высокие стандарты корпоративной безопасности для предотвращения следующей, более изощренной атаки”.

Понятная подпись означает, что сведения о транзакции представлены в удобочитаемом формате, и Готье утверждает, что эксплойт Bybit не произошел бы, если бы был реализован этот уровень безопасности.

Ledger также подчеркнул, что этот последний взлом подчеркивает необходимость самостоятельного хранения — и потребители должны полагаться на аппаратные кошельки, а не доверять свои средства биржам.