Wiadomości
Wyjaśnienie hacku Bybit o wartości 1,5 miliarda dolarów: Jak hakerzy uzyskali dostęp do portfeli zimnych, Czy Ethereum jest zagrożone?
token_sale
token_sale

Dołącz do sprzedaży tokenów Yellow Network i zabezpiecz swoje miejsce

Dołącz teraz
token_sale

Wyjaśnienie hacku Bybit o wartości 1,5 miliarda dolarów: Jak hakerzy uzyskali dostęp do portfeli zimnych, Czy Ethereum jest zagrożone?

Wyjaśnienie hacku Bybit o wartości 1,5 miliarda dolarów: Jak hakerzy uzyskali dostęp do portfeli zimnych, Czy Ethereum jest zagrożone?

W największej do tej pory kradzieży kryptowalut, giełda z siedzibą na Seszelach Bybit straciła około 1,5 miliarda dolarów w Ethereum (ETH) 21 lutego 2025 roku, z powodu zaawansowanego ataku hakerów związanych z Koreą Północną.

Naruszenie, potwierdzone przez CEO Bybit Ben Zhou, stanowi znaczną eskalację cyberprzestępczości wymierzonej w branżę kryptowalutową i rodzi krytyczne pytania dotyczące bezpieczeństwa aktywów cyfrowych.

Spróbujmy dokonać dogłębnej analizy tego ataku, zastosowanych metod technicznych, roli analizy blockchainu, zaangażowania grupy Lazarus i szerszych implikacji dla ekosystemu kryptowalutowego.

Bybit: Główny gracz na rynku kryptowalut

Bybit, założona w 2018 roku i z siedzibą na Seszelach, ugruntowała swoją pozycję jako wiodąca giełda kryptowalutowa, znana z wysokich wolumenów obrotu i różnorodnych ofert, w tym kupna i sprzedaży kryptowalut po obecnych cenach rynkowych, spekulacji na temat przyszłych ruchów cenowych z dźwignią finansową, zdobywania nagród poprzez zablokowanie środków w celu wsparcia operacji blockchainu.

Przyjazny dla użytkownika interfejs i renoma dla solidnych środków bezpieczeństwa giełdy, takich jak portfele zimne z multi-sig i regularne audyty bezpieczeństwa, przyciągnęły globalną bazę użytkowników. Ta renoma uczyniła atak szczególnie alarmującym, ponieważ ujawnił podatności nawet na najbardziej zaufanych platformach.

Odkrycie hacku

Hack został po raz pierwszy wykryty przez analityka on-chain ZachXBT, który zgłosił podejrzane wypływy o wartości 1,46 miliarda dolarów z portfeli Bybit o godzinie 10:20 rano ET 21 lutego 2025 roku.

Te wypływy, obejmujące 401,347 ETH, wzbudziły natychmiastowe obawy o potencjalne naruszenie bezpieczeństwa. W ciągu 30 minut CEO Bybit Ben Zhou potwierdził naruszenie w poście na X (dawniej Twitter), przypisując atak technice tranzakcji „zamaskowanej”, która wykorzystała portfel zimny z multi-sig giełdy podczas rutynowego transferu do portfela ciepłego.

Zrozumienie portfeli zimnych z multi-signature i ich bezpieczeństwa

Co to jest portfel zimny z multi-signature?

Portfel zimny z multi-signature (multi-sig) to rodzaj przechowywania kryptowalut zaprojektowany w celu zwiększenia bezpieczeństwa przez wymaganie wielu kluczy prywatnych do autoryzacji transakcji.

W przeciwieństwie do portfeli z jednym kluczem, które opierają się na jednym kluczu i są bardziej podatne na kradzież, portfele multi-sig rozdzielają kontrolę pomiędzy kilkoma stronami lub urządzeniami. Na przykład portfel 2-z-3 multi-sig wymaga dwóch z trzech wyznaczonych podpisujących do zatwierdzenia transakcji.

Zimne portfele z kolei to rozwiązania do przechowywania bez połączenia z internetem, co zmniejsza ryzyko ataków online, takich jak hakowanie czy phishing.

Konfiguracja portfela zimnego z multi-sig Bybit wymagała zatwierdzeń od wielu podpisujących, co jest standardową praktyką w celu ochrony dużych kwot kryptowalut.

Wykorzystanie portfeli zimnych z multi-sig przez Bybit miało na celu ochronę znacznych zasobów ETH, co czyniło naruszenie szczególnie zaskakującym i podkreślało zaawansowanie ataku.

Jak przeprowadzono hack: szczegóły techniczne

Atakujący ominęli zabezpieczenia multi-sig Bybit za pomocą kombinacji inżynierii społecznej i zaawansowanej manipulacji technicznej.

Oto szczegółowy podział ataku:

1. Początkowy dostęp za pomocą inżynierii społecznej

Hakerzy, prawdopodobnie będący częścią grupy Lazarus z Korei Północnej, najpewniej uzyskali początkowy dostęp poprzez zaawansowane techniki phishingu, takie jak:

  • Spear-phishing emails: Celem tych emaili było zwiedzenie pracowników lub podpisujących do ujawnienia danych uwierzytelniających lub kliknięcia na złośliwe linki.
  • Podstawiane strony internetowe: Strony phishingowe, które naśladują interfejsy Bybit, aby przechwycić klucze prywatne lub frazy kluczowe.
  • Zakażenie złośliwym oprogramowaniem: Wdrożenie złośliwego oprogramowania w celu skompromitowania systemów lub urządzeń używanych przez podpisujących.

Te taktyki inżynierii społecznej wykorzystały ludzki błąd, będący krytyczną podatnością w nawet najbardziej zabezpieczonych systemach.

2. Manipulacja transakcją poprzez zamaskowany interfejs

Podczas rutynowego transferu z portfela zimnego multi-sig ETH Bybit do portfela ciepłego (portfela online do szybszych transakcji), atakujący przeprowadzili swój exploit.

Hakerzy zmienili interfejs do podpisywania transakcji, czyli komponent użytkownika, w którym osoby podpisujące zatwierdzają transakcje. Interfejs ten został zmanipulowany w celu wyświetlenia legalnego adresu transakcji, jednocześnie osadzając złośliwy kod w logice podlegającej inteligentnemu kontraktowi.

Osoby podpisujące, nieświadome manipulacji, zatwierdziły to, co wydawało się być rutynową transakcją. Jednak zatwierdzona transakcja zawierała złośliwy kod, który zmienia kontrolne mechanizmy portfela.

3. Zmiana logiki inteligentnego kontraktu

Złośliwy kod osadzony w transakcji wykorzystał luki w procesie zatwierdzania transakcji.

Zatwierdzona transakcja zmieniła logikę inteligentnego kontraktu, nadając atakującym kontrolę nad portfelem. Umożliwiło im to przelanie 401,347 ETH na nieznany adres pod ich kontrolą.

Atak nie skompromitował blockchainu Ethereum ani jego inteligentnych kontraktów, ale raczej wykorzystał wewnętrzny proces Bybit dotyczący walidacji i zatwierdzania transakcji.

4. Pranie funduszy i dystrybucja

Po uzyskaniu kontroli nad środkami, atakujący szybko rozproszyli skradzione ETH do wielu portfeli, aby zaciemnić swój trop.

ETH zostało podzielone na przyrosty po 1,000 ETH i wysłane do ponad 40 różnych portfeli.

Atakujący przekształcili ETH w inne kryptowaluty lub fiat za pośrednictwem zdecentralizowanych giełd (DEX), które nie wymagają procedur znaj swojego klienta (KYC) od giełd scentralizowanych, utrudniając zamrożenie lub odzyskanie środków.

Analiza blockchainu i śledzenie funduszy

Firmy zajmujące się analizą blockchainu odegrały kluczową rolę w śledzeniu skradzionych środków, pomimo wysiłków atakujących w celu ukrycia ich ruchów.

Kluczowe firmy i narzędzia to:

  • Elliptic: Firma zajmująca się analizą blockchainu, która śledziła skradzione ETH podczas jego dyspozycji i likwidacji. Oprogramowanie Elliptic analizuje wzorce transakcji i adresy portfeli, aby zidentyfikować podejrzaną aktywność.
  • Arkham Intelligence: Inna firma analityczna, która zapewniała śledzenie na żywo funduszy, identyfikując powiązane portfele i przepływy transakcji.
  • MistTrack by Slow Mist: Narzędzie do forensyki blockchainu używane do mapowania ruchów skradzionego ETH na sieci Ethereum. MistTrack oznaczało testowe transakcje i wzorce portfeli, typowe dla technik grupy Lazarus.

Pomimo tych wysiłków, prędkość i skala likwidacji utrudniły odzyskanie.

Używanie DEX i mikserów (narzędzia do mieszania kryptowalut w celu ukrycia ich pochodzenia) przez atakujących dodatkowo skomplikowało proces.

Grupa Lazarus: winowajcy stojący za hackiem

Kim jest Grupa Lazarus?

Grupa Lazarus to wspierana przez państwo północnokoreańska kolektyw hakerski znana z organizowania głośnych cyberprzestępstw, w tym kradzieży kryptowalut, ataków ransomware i szpiegostwa.

Grupa jest uważana za operującą pod kierunkiem północnokoreańskiego Biura Rozpoznania Ogólnego z głównym celem generowania przychodów dla reżimu.

Dowody łączące Lazarus z hackiem na Bybit

Analitycy blockchainu, w tym ZachXBT, połączyli hack na Bybit z wcześniejszymi exploitami grupy Lazarus na podstawie kilku wskaźników.

  • Testowe transakcje: Małe transfery wysłane przed głównym atakiem w celu przetestowania funkcjonalności portfela, znak rozpoznawczy taktyk Lazarus.
  • Powiązane portfele: Portfele użyte w ataku Bybit były powiązane z tymi zaangażowanymi w poprzednie hacki, takie jak exploit Phemex.
  • Wykresy forensic i analiza czasu: Wzorce czasowe transakcji i aktywności portfela pasowały do znanych zachowań Lazarus.

Historia grupy Lazarus

Grupa Lazarus ma długą historię kradzieży kryptowalut, w tym znane przykłady takie jak:

  • Hack sieci Ronin (2022): Skradziono 600 milionów dolarów w ETH i USDC z platformy gry Axie Infinity.
  • Hack Phemex (2024): Połączony z atakiem na Bybit poprzez podobne techniki i wzorce portfeli.
  • Całkowicie 2024: Szacuje się, że skradziono 1,34 miliarda dolarów w ponad 47 hackach, stanowiących 61% całej nielegalnej aktywności krypto w tym roku.

Zaawansowane techniki grupy, takie jak exploity zero-day (wcześniej nieznane luki) i wyrafinowana inżynieria społeczna, czynią je poważnym zagrożeniem dla przemysłu kryptowalutowego.

Implikacje dla Ethereum i ekosystemu kryptowalutowego

Bezpieczeństwo Ethereum

Pomimo skali hacku, samo Ethereum nie zostało skompromitowane.

Podatność leżała w wewnętrznych procesach Bybit, a nie w blockchainie Ethereum czy jego inteligentnych kontraktach.

Oto dlaczego.

Blockchain Ethereum, zdecentralizowana księga transakcji, pozostał zabezpieczony. Atak nie eksploatował luk w mechanizmie konsensusu (proof of stake) blockchaina ani jego systemie inteligentnych kontraktów.

Naruszenie wynikało z manipulowanych zatwierdzeń transakcji, podkreślając ryzyka procesów skoncentrowanych na ludziach w zarządzaniu kryptowalutami.

Chociaż sam kod inteligentnego kontraktu nie został zhakowany, manipulacja procesem zatwierdzania poprzez zamaskowany interfejs rodzi obawy dotyczące bezpieczeństwa interfejsów użytkownika i mechanizmów podpisywania transakcji w portfelach multi-sig.

Szeroki wpływ na rynek

Hack miał natychmiastowe i rozprzestrzeniające się efekty na rynku kryptowalutowym.

Ceny ETH spadły o ponad 3% po potwierdzeniu włamania, odzwierciedlając zwiększoną zmienność.

Naruszenie zbiegło się z ETHDenver, jedną z największych konferencji ekosystemu Ethereum, rzutując niedźwiedzim cieniem na wydarzenie, które zazwyczaj jest optymistyczne dla ETH.

Incydent nadwerężył zaufanie do giełd scentralizowanych, skłaniając użytkowników do kwestionowania bezpieczeństwa ich aktywów i zwiększał zainteresowanie rozwiązaniami finansów zdecentralizowanych (DeFi).

A przecież sam fakt, że największy hack w historii miał miejsce podczas rynku byka, nie powinien być pominięty.

Odpowiedź i działania naprawcze Bybit

Szybka reakcja Bybit pomogła złagodzić panikę i demonstrowała operacyjną odporność. Content: Wymiana przetworzyła ponad 580 000 żądań wypłat po ataku, zapewniając użytkownikom dostęp do ich środków.

Bybit również zabezpieczył pożyczki pomostowe na pokrycie strat, uspokajając użytkowników co do swojej wypłacalności. Wymiana uruchomiła program oferujący do 10% odzyskanych środków etycznym hakerom, którzy pomagają w odzyskaniu skradzionych ETH.

Te środki, choć proaktywne, podkreślają wyzwania związane z odzyskiwaniem środków w takich atakach na dużą skalę, zwłaszcza biorąc pod uwagę techniki prania pieniędzy stosowane przez napastników.

Środki Zapobiegawcze na Przyszłość

Aby uniknąć podobnych ataków, eksperci zalecają kompleksowy zestaw środków bezpieczeństwa opartych na najlepszych praktykach branżowych i wnioskach z incydentu Bybit.

1. Uwierzytelnianie Wieloskładnikowe (MFA)

Wymagać wielu warstw weryfikacji dla zatwierdzeń transakcji, takich jak:

  • Uwierzytelnianie biometryczne: Odciski palców lub rozpoznawanie twarzy.
  • Tokeny sprzętowe: Urządzenia fizyczne generujące jednorazowe kody.
  • Tymczasowe hasła jednorazowe (TOTP): Aplikacje jak Google Authenticator do tymczasowych kodów.

2. Bezpieczne Kanały Komunikacji

Używać zaszyfrowanych i zweryfikowanych kanałów do wszystkich komunikacji związanych z transakcjami, takich jak:

  • Szyfrowana poczta e-mail end-to-end: Narzędzia jak ProtonMail lub Signal do bezpiecznego przesyłania wiadomości.
  • Dedykowane bezpieczne portale: Wewnętrzne systemy do zatwierdzania transakcji, odizolowane od zewnętrznych zagrożeń.

3. Regularne Audyty Bezpieczeństwa

Przeprowadzać częste oceny i testy penetracyjne w celu identyfikacji luk:

  • Audyty zewnętrzne: Zatrudnianie renomowanych firm do przeglądu protokołów bezpieczeństwa.
  • Symulowane ataki: Testowanie systemów przeciwko scenariuszom phishingu, złośliwego oprogramowania i inżynierii społecznej.

4. Szkolenie Pracowników

Edukować personel w rozpoznawaniu zagrożeń z inżynierii społecznej, takich jak:

  • Świadomość phishingu: Szkolenie pracowników, aby identyfikować podejrzane e-maile lub linki.
  • Higiena poświadczeń: Unikaj ponownego używania haseł lub przechowywania kluczy w niebezpieczny sposób.

5. Zróżnicowane Zarządzanie Aktywami

Rozproszyć środki na wiele portfeli, aby ograniczyć ekspozycję:

  • Balans portfeli zimnych i gorących: Przechowywać większość środków w zimnej pamięci, z minimalnymi kwotami w gorących portfelach do codziennych operacji.
  • Dystrybucja z podpisami wielokrotnymi: Używać różnych konfiguracji z podpisami wielokrotnymi dla różnych puli aktywów.

6. Systemy Wykrywania Anomaliów

Wdrażać narzędzia do wykrywania i powiadamiania o niezwykłych wzorcach transakcji, takich jak:

  • Modele uczenia maszynowego: Identyfikacja odchyleń od normalnej aktywności, takich jak duże transfery w nietypowych porach.
  • Powiadomienia w czasie rzeczywistym: Informowanie zespołów ds. bezpieczeństwa o podejrzanych odpływach środków.

7. Bieżące Aktualizacje o Zagrożeniach

Ciągle aktualizować środki bezpieczeństwa, aby przeciwdziałać nowym zagrożeniom cybernetycznym:

  • Kanały z informacjami o zagrożeniach: Subskrybowanie usług, które śledzą nowe wektory ataków.
  • Obrony przed exploitami zero-day: Wdrażać poprawki i aktualizacje niezwłocznie, aby zaradzić nowo wykrytym lukom.

Te środki są kluczowe, zwłaszcza biorąc pod uwagę zaawansowane techniki stosowane przez Grupę Lazarus, które obejmują exploity zero-day, zaawansowaną inżynierię społeczną i szybkie pranie pieniędzy.

Wnioski: Lekcje dla Przemysłu Kryptowalut

Atak na Bybit, największa kradzież kryptowalut w historii, podkreśla ciągłe wyzwania związane z bezpieczeństwem, przed jakimi stoi przemysł, szczególnie ze strony aktorów sponsorowanych przez państwo, jak Grupa Lazarus.

Chociaż Ethereum pozostaje bezpieczne, incydent podkreśla potrzebę solidnych procesów wewnętrznych, zaawansowanych środków cyberbezpieczeństwa i ciągłej czujności w celu ochrony aktywów cyfrowych.

W miarę jak ekosystem kryptowalut ewoluuje, wymiany muszą priorytetowo traktować zaufanie użytkowników i odporność operacyjną, aby skutecznie nawigować w takich kryzysach.

Incydent w Bybit jest wyraźnym przypomnieniem, że nawet najbezpieczniejsze platformy są podatne na błędy ludzkie i wyrafinowane ataki, co podkreśla znaczenie wielowarstwowego bezpieczeństwa i współpracy branżowej w zwalczaniu cyberprzestępczości.

Zastrzeżenie: Informacje zawarte w tym artykule mają charakter wyłącznie edukacyjny i nie powinny być traktowane jako porada finansowa lub prawna. Zawsze przeprowadzaj własne badania lub skonsultuj się z profesjonalistą podczas zarządzania aktywami kryptowalutowymi.
Najnowsze wiadomości
Pokaż wszystkie wiadomości
Codzienne wyróżnienia na rynku kryptowalut: Pi wyprzedza konkurencję, podczas gdy PARSIQ i BOB korzystają z fali
3 godzin temu
Rynek kryptowalut odnotował dziś wzrost aktywności, z PI na czele po ogłoszeniu ważnej wiadomości związanej z siecią. Tymczasem, Parsiq zyskuje na znaczeniu dzięki przejściu na bardziej zaawansowaną s
Wartość Cardano spada o 22%, podczas gdy długoterminowi inwestorzy trzymają się mocno
3 godzin temu
Cardano doświadczyło gwałtownego spadku wartości o 22% w ciągu ostatniego tygodnia, co jest zgodne z ogólną zmiennością rynku kryptowalut. Cyfrowy asset, który zajmuje ósme miejsce pod względem całkow
Banana Token wzrasta o 44% pomimo obaw o wyprzedaż inwestorów
6 godzin temu
Kryptowaluta Banana (BANANA) wzrosła o 44% w ciągu ostatniego dnia, osiągając poziom $15,95, próbując przełamać formację klinów spadkowych. Znaczący ruch cenowy następuje w obliczu niepokojących znakó
Powiązane wiadomości
Strata Bybit w wysokości 1,46 mld USD na rzecz północnokoreańskich hakerów ustanawia historyczny rekord
Feb 22, 2025
Firma analityczna blockchain Arkham Intelligence, z wnikliwościami dochodzeniowca łańcucha bloków ZachXBT, przypisała $1,46 miliarda hak na Bybit Grupie Lazarus z Korei Północnej. Arkham, który wcześn
Epicki hack Bybit o wartość $1,5 mld wywołuje debatę nad bezpieczeństwem architektury Ethereum
Feb 24, 2025
Niszczycielski hack giełdy kryptowalutowej Bybit ponownie wzbudził obawy dotyczące bezpieczeństwa blockchain. Grupa Lazarus z Korei Północnej z powodzeniem wyekstrahowała aktywa cyfrowe warte 1,5 mili
Bybit Hacker pierze $239M w skradzionym Ethereum, $148M nadal zagrożone
Mar 04, 2025
Haker kryptowalutowy przetworzył 96 500 ETH skradzionych z giełdy Bybit, zgodnie z analizą blockchain. Szybka operacja prania miała miejsce w ciągu ostatnich 24 godzin. Analityk blockchain Ember rapo
Bezpieczny portfel przyznaje, że jego naruszenie bezpieczeństwa odegrało rolę w hacku Bybit na 1,5 mld USD
Feb 27, 2025
Firma zajmująca się bezpieczeństwem kryptowalut Safe Wallet potwierdziła, że jej infrastruktura została wykorzystana podczas niedawnego $1,5bn Bybit hack. Naruszenie wynikało z przejęcia komputera dew
Bybit pada $1.4 mld włamanie do zimnego portfela w wyrafinowanym phishingu
Feb 21, 2025
Giełda kryptowalut Bybit padła ofiarą jednej z największych kradzieży cyfrowych aktywów w historii. Włamanie skutkowało stratami w wysokości około 1,4 miliarda dolarów w tokenach Ethereum z zimnego po
Powiązane artykuły
Top 10 największych włamań do giełd kryptowalutowych w ostatnich latach
Sep 20, 2024
Wczesne godziny 20 września przyniosły wiadomość, że singapurska giełda kryptowalut BingX potwierdziła, że doszło do naruszenia bezpieczeństwa. Incydent spowodował "niewielką utratę aktywów", jak stwi
5 Najlepszych Sposobów na Zabezpieczenie Portfela Kryptowalut Przed Hakerami
Dec 31, 2024
Większość nowicjuszy w kryptowalutach spieszy się, aby kupić jakieś tokeny i nie przejmuje się zbytnio tym, gdzie je przechowywać. To może być kluczowy błąd. Zaniedbanie bezpieczeństwa może cię drogo
Top 5 sposobów na zapobieganie atakom front-runningowym w blockchain, o których powinieneś wiedzieć
Jan 11, 2025
Spośród wszystkich zagrożeń, jakie napotyka ten zdecentralizowany ekosystem, ataki front-runningowe należą do najpoważniejszych i najpilniejszych. Czym są ataki front-runningowe i jak się przed nimi c
DEX Security: Ochrona użytkowników w zdecentralizowanym świecie
Jan 12, 2025
Zdecentralizowane giełdy (DEXs) wyłoniły się jako kamień węgielny ekosystemu kryptowalut, oferując użytkownikom niespotykaną dotąd kontrolę nad ich aktywami. Ale jak naprawdę bezpieczne są DEXs w por
Jak Znaleźć Zagubione Bitcoiny: Kompletny Przewodnik
Sep 26, 2024
Czy istnieje sposób na odzyskanie swoich Bitcoinów, jeśli je zgubisz? Wszystkie potrzebne informacje znajdziesz w tym artykule. Istnieje naturalny limit podaży Bitcoina, przełomowej kryptowaluty stwo