Атака хакеров на Bybit: 400 тысяч ETH украдено с помощью хитроумного вмешательства

21 февраля 2025 года криптобиржа Bybit подверглась атаке хакеров, которые смогли увести 70% активов на платформе в Ethereum (это около 400 тысяч ETH), как сообщил генеральный директор компании Бен Чжоу. Эксперты по информационной безопасности установили, что за взломом, повлекшим ущерб в $1,4 млрд, стоит группа Lazarus, отметили они.

После атаки злоумышленники перевели средства на множество различных кошельков. Представители Bybit заверили, что был скомпрометирован лишь один из холодных кошельков, оставшиеся находятся под защитой.

Чжоу пояснил, что сотрудники криптобиржи осуществляли стандартный перевод средств с холодного на теплый кошелек, и хакер использовал метод подмены интерфейса для получения контроля над кошельком. Он также добавил, что остальные холодные кошельки в безопасности и функционируют в обычном режиме. Генеральный директор призвал сообщество помочь в поиске украденных средств.

Вот как развивались события вокруг данного инцидента:

Криптодетектив ZachXBT первым заметил подозрительные транзакции: в 18:20 по московскому времени он зафиксировал крупные переводы с кошельков Bybit. Позже Бен Чжоу подтвердил факт атаки и пояснил, что злоумышленники использовали сложный способ подмены транзакций, получив тем самым полный контроль над активами.

В отличие от традиционных взломов, где злоумышленники крадут пароли или проникают на серверы, в этом случае атака была направлена на сам процесс подтверждения транзакций в системе Bybit. На крупных криптовалютных биржах средства обычно хранятся в мультиподписных кошельках, что означает необходимость одобрения нескольких ответственных лиц для подтверждения переводов с использованием их ключей.

Хакерам удалось изменить интерфейс, который подписанты видели перед подтверждением. На экране был правильный адрес получателя и привычный интерфейс системы безопасности Safe (ранее Gnosis Safe), однако на самом деле подтверждение не просто переводило средства, а позволяло хакерам получить полный контроль над кошельком.

После получения контроля злоумышленники незамедлительно перевели средства в неизвестный адрес и начали их распределять по сети. Согласно данным ончейн-аналитиков, средства уже начали перемещаться: более 20 кошельков получили деньги. Хакеры начали обменивать украденные активы, включая производные токены на Ethereum, и распределять средства по различным адресам для затруднения отслеживания.

Мониторинговые сервисы блокчейна уже пометили эти кошельки как потенциально украденные, что позволяет криптобиржам отслеживать поступления украденных активов и при необходимости блокировать их.

Bybit подтвердила, что другие холодные кошельки не были затронуты, а процесс вывода средств продолжается в обычном режиме. Биржа также заверила, что активы клиентов полностью покрыты, а в случае невозможности вернуть украденные средства убытки будут компенсированы за счет платформы.

Комментарий эксперта по информационной безопасности: