Взлом Bybit: как про­изошла крупнейшая кража криптовалюты в истории

Предположительно, северокорейские хакеры взломали вторую по величине криптобиржу в мире — Bybit.

Это стало крупнейшей в истории цифровой кражей. Бирже пришлось срочно привлекать кредиты, чтобы восполнить резервы и стабилизировать работу.

Рассказываем, как хакерам удалось взломать считающийся безопасным холодный кошелек и при чем тут Ким Чен Ын.

Вечером 21 февраля 2025 года в криптосообществе появились сообщения о подозрительных выводах денег с биржи Bybit. Согласно открытым данным из блокчейн-цепочки, с кошелька Bybit вывели криптовалюту в эквиваленте 1,5 млрд долларов и небольшими пачками разбросали по сети кошельков.

Вскоре генеральный директор биржи Бен Чжоу подтвердил атаку. Он заверил, что пострадал только холодный кошелек  биржи, где хранился запас токенов ETH  , финансы пользователей не пострадали и все работает в штатном режиме.

По словам Чжоу, для взлома хакеры использовали «замаскированную транзакцию». Дело в том, что биржи хранят крупные суммы — свои резервы — на мультиподписных кошельках, то есть транзакцию подтверждают сотрудники своими приватными ключами. Хакеры подменили интерфейс таким образом, что при одобрении транзакции подписанты видели правильный адрес получателя, но код смарт-контракта  при этом менялся. Подменный смарт-контракт давал злоумышленникам доступ к кошельку.

Так хакеры получили контроль над кошельком биржи и стали выводить с него деньги. В общей сложности они украли 401 347 ETH и еще часть денег в токенах ликвидного стейкинга mETH и stETH  . Они раскидали токены по сотням адресов, прогоняя через мосты  и обменивая на децентрализованных биржах. В частности, 10 000 ETH распределили между 39 кошельками — их список доступен.

Все кошельки в блокчейне легко отслеживаются, так как это открытая база данных, куда записывается вся история операций. Каждый человек может посмотреть данные по любому кошельку — его текущие активы и транзакции. Но с украденными токенами ничего не поделать, так как кошельки в децентрализованном пространстве: доступ к ним есть только у их владельцев.

По оценкам Rekt, общая сумма украденного — около 1,4 млрд долларов, и это крупнейшая кража криптовалют в истории. Чтобы понимать масштаб, все активы биржи Bybit до хакерской атаки оценивались в 16 млрд долларов.

До этого самым крупным считался взлом сети Poly Network в 2021 году — потери составили 611 млн долларов. А крупнейшая банковская кража — похищение миллиарда долларов из Центробанка Ирака в 2003 году.

По методу взлома это напоминало атаку на индийскую биржу WazirX и платформу Radiant Capital в 2024 году — тогда украли 235 и 53 млн долларов соответственно. В тех случаях также был взломан компьютер подписанта и использовался подменный интерфейс.

По последним данным, за взломом Bybit стоят северокорейские хакеры Lazarus Group, которых считают тесно связанными с правительством страны. Эту группировку называют одной из самых значительных угроз в интернет-пространстве в целом и на крипторынке в частности.

Еще в 2018 году ФБР выдало ордер на арест одного из участников Lazarus Group — Пак Джин Хёка. Власти США считают, что он работал на подставную северокорейскую правительственную компанию Chosun Expo Joint Venture, чтобы поддерживать вредоносные кибератаки правительства КНДР.

Особенность группы Lazarus в том, что она выбирает для атак централизованные площадки. Так, в 2023 году им приписали пять крупных атак: Atomic Wallet, CoinsPaid, Alphapo, Stake.com и CoinEx. А приложения DeFI  не пострадали. Также в атаках они используют скорее человеческий фактор, чем программные уязвимости.

Например, в 2016 году при ограблении Центрального банка Бангладеш они использовали разницу во времени между этой страной и США и разный график выходных так, что сотрудники этих структур просто не смогли связаться, чтобы предотвратить кражу. Хакеры планировали украсть миллиард долларов, но вывести им удалось только 81 млн.

Сработала неожиданная мелочь: адрес банка, куда должны были вывести украденные деньги, содержал слово «Юпитер» — так называлось подсанкционное иранское транспортное судно. Из-за этого платежи остановили.

Подход Lazarus Group со временем меняется, и ее труднее вычислить.

Среди других атак, которые приписывают группировке:

• атака на южнокорейские правительственные системы в 2007 году;
• взлом Sony Pictures в 2014 году в ответ на сатирический фильм о лидере Северной Кореи;
• крупнейшая атака вируса-вымогателя WannaCry в 2017 году — поразил более 230 тысяч компьютеров в 150 странах;
• взлом биржи KuCoin в 2020 году на 275 млн долларов;
• взлом сети Ronin в 2021 году на 600 млн долларов;
• уже упомянутые атаки на WazirX и Radiant Capital в 2024 году.

Пока можно сказать, что, несмотря на масштабы взлома, биржа неплохо справляется с последствиями.

Платежеспособность биржи сохранена. Гендиректор биржи Бен Чжоу заверил пользователей, что Bybit останется платежеспособной, даже если не сможет вернуть финансы. Чтобы стабилизировать ситуацию, биржа экстренно привлекла кредиты и займы у крупных игроков рынка и закупила 266 694 ETH. Не остались в стороне и другие криптобиржи: 47 800 ETH перевели из Binance и еще 40 000 ETH дала в долг биржа Bitget.

Bybit смогла восстановить резервы и гарантировать пользователям платежеспособность. Независимый аудитор Hacken подтвердил, что активы биржи по-прежнему превышают ее обязательства. Тем не менее на панике пользователи биржи выводили свой капитал и общие активы биржи снизились на 5,3 млрд.

Объявлено вознаграждение за помощь в возврате активов. Bybit призвала всех криптоактивистов присоединиться к охоте за украденным и пообещала вознаграждение 10% от суммы, которую получится вернуть. Биржа запустила отдельную страницу с рейтингом «охотников» и списком адресов хакеров.

Украденные деньги расползлись по разным сетям: проходили через биржи, миксеры  , мосты и свапалки  . Bybit попросила помощи у всех вовлеченных сторон, чтобы они либо заморозили проходящие через них монеты, либо предоставили данные об их движении.

Компании Tether и Circle уже заморозили 42,9 млн долларов украденного в виде стейблкоинов  USDT и USDC, что усложнило для хакеров обналичивание. Теоретически в случае полного возврата украденного вознаграждение составит 140 млн долларов.

Котировки криптовалют падают. После сообщений о взломе котировки ETH пошли вниз, теряя в определенные моменты более 7%. Комьюнити опасалось, что хакеры начнут лить монеты в рынок и обрушат цену. Но этого не произошло, цена восстановилась, хотя потом снова начала падать.

Хакер, взломавший Bybit, теперь 14-й крупнейший держатель ETH в мире и контролирует 0,42% от общего предложения монет. Это больше, чем у создателя Ethereum Виталика Бутерина.

Сейчас токену ETH и так несладко: он не рос так бурно, как биткоин. А теперь над ним навис дамоклов меч в виде огромного предложения, которое в любой момент может пойти в рынок. Еще есть надежда, что с хакером получится договориться и он вернет украденное за вознаграждение, но шансы этого близки к нулю.

Биткоин, впрочем, на фоне новостей тоже упал ниже 90 000 $ — это минимум с ноября 2024 года.

Холодные мультиподписные кошельки считаются одним из самых безопасных способов хранения криптовалют, но взлом Bybit показывает, что и он уязвим. Биржам нужно внедрять многоуровневые меры безопасности и передовые методы аутентификации, если они хотят защитить свои активы.

Взлом Bybit еще раз подтверждает, что хранить криптовалюту на централизованной площадке опасно: кроме того, что на них нацелены лучшие хакеры, биржа сама может в любой момент ограничить доступ, например, по политическим причинам.