Новости
Взлом на $1,5 миллиарда в Bybit: Как хакеры получили доступ к холодным кошелькам, под угрозой ли Ethereum?
token_sale
token_sale

Присоединяйтесь к продаже токенов Yellow Network и обеспечьте себе место

Присоединиться сейчас
token_sale

Взлом на $1,5 миллиарда в Bybit: Как хакеры получили доступ к холодным кошелькам, под угрозой ли Ethereum?

Взлом на $1,5 миллиарда в Bybit: Как хакеры получили доступ к холодным кошелькам, под угрозой ли Ethereum?

В крупнейшей на сегодняшний день краже криптовалют, биржа из Сейшельских островов Bybit потеряла около $1,5 миллиарда в Ethereum (ETH) 21 февраля 2025 года из-за сложного взлома, связанного с хакерами из Северной Кореи.

Утечка, подтвержденная генеральным директором Bybit Беном Чжоу, знаменует значительное обострение киберпреступности, направленной на криптоиндустрию, и ставит критические вопросы о безопасности цифровых активов.

Давайте попробуем провести подробный анализ взлома, применяемых технических методов, роли анализа блокчейна, участия группы Лазарус и более широких последствий для экосистемы криптовалют.

Bybit: Основной игрок на крипторынке

Bybit, основанная в 2018 году и базирующаяся на Сейшельских островах, зарекомендовала себя как ведущая криптовалютная биржа, известная своими большими объемами торгов и разнообразием предлагаемых услуг, включая покупку и продажу криптовалют по текущим рыночным ценам, спекуляции на будущих движениях цен с использованием кредитного плеча, получение вознаграждений за блокировку средств в поддержку операций на блокчейне.

Удобный интерфейс биржи и репутация надежных мер безопасности, таких как многофакторная (multi-sig) защита холодных кошельков и регулярные аудиты безопасности, привлекли глобальную базу пользователей. Эта репутация сделала взлом особенно тревожным, поскольку он выявил уязвимости даже в самых доверенных платформах.

Обнаружение взлома

Взлом был впервые обнаружен аналитиком блокчейна ZachXBT, который отметил подозрительные оттоки на сумму $1,46 миллиарда из кошельков Bybit в 10:20 утра по восточному времени 21 февраля 2025 года.

Эти оттоки, включающие 401 347 ETH, вызвали немедленные опасения относительно потенциального нарушения безопасности. В течение 30 минут генеральный директор Bybit Бен Чжоу подтвердил утечку в посте на X (бывший Twitter), приписывая атаку технике "маскированных" транзакций, которая эксплуатировала многофакторную защиту холодного кошелька биржи во время рутинного перевода в горячий кошелек.

Понимание многофакторных холодных кошельков и их безопасности

Что такое многофакторный холодный кошелек?

Многофакторный (multi-sig) холодный кошелек - это тип хранения криптовалют, предназначенный для улучшения безопасности путем требования нескольких закрытых ключей для авторизации транзакции.

В отличие от кошельков с одним ключом, которые зависят от одного ключа и более уязвимы для кражи, многофакторные кошельки распределяют контроль между несколькими сторонами или устройствами. Например, кошелек с 2 из 3 подписей требует одобрения от двух из трех назначенных подписантов для утверждения транзакции.

Холодные кошельки, с другой стороны, представляют собой офлайн-решения для хранения, то есть они не подключены к интернету, что снижает риск онлайн-атак, таких как взлом или фишинг.

Настройка многофакторных холодных кошельков Bybit требовала одобрения от нескольких подписантов, что считалось стандартной практикой для защиты больших сумм криптовалюты.

Использование многофакторных холодных кошельков в Bybit предполагалось защищать значительные запасы ETH, сделав эту утечку особенно удивляющей и подчеркивающей сложность атаки.

Как был осуществлен взлом: технические детали

Хакеры обошли защиту Bybit посредством комбинации социальной инженерии и продвинутого технического манипулирования.

Вот подробное разбиение атаки:

1. Начальное получение доступа через социальную инженерию

Хакеры, предположительно являющиеся частью северокорейской группы Лазарус, вероятно, получили начальный доступ через продвинутые фишинговые методы, такие как:

  • Копий-фишинговые письма: Целенаправленные письма, предназначенные для обмана сотрудников или подписантов, чтобы они раскрыли учетные данные или перешли по вредоносным ссылкам.
  • Фальшивые веб-сайты: Сайты-фишки, имитирующие законный интерфейс Bybit для захвата закрытых ключей или начальных фраз.
  • Заражение вредоносными программами: Запуск вредоносных программ для компрометации систем или устройств, используемых подписантами.

Эти тактики социальной инженерии эксплуатировали человеческую ошибку – критическую уязвимость даже в самых защищенных системах.

2. Манипуляция транзакцией через маскированный интерфейс

Во время рутинного перевода из ETH мультиподписи холодного кошелька Bybit в горячий кошелек (онлайн-кошелек для более быстрых транзакций) злоумышленники выполнили свою атаку.

Хакеры изменили интерфейс подписи, компонент пользовательского интерфейса, где подписанты одобряют транзакции. Этот интерфейс был изменен для отображения допустимого адреса транзакции, одновременно внедрив злоумышленное программное обеспечение в логику смарт-контракта.

Подписанты, не подозревающие о манипуляции, утвердили то, что казалось рутинным переводом. Однако утвержденная транзакция содержала злоумышленное программное обеспечение, которое изменило механизмы управления кошельком.

3. Изменение логики смарт-контрактов

Вредоносное программное обеспечение, встроенное в транзакцию, эксплоатировало уязвимости в процессе утверждения транзакции.

Утвержденная транзакция изменила логику смарт-контракта, предоставив злоумышленникам контроль над кошельком. Это позволило им перевести 401 347 ETH на неустановленный адрес под их контролем.

Атака не компрометировала блокчейн Ethereum или его смарт-контракты, но эксплоатировала внутренний процесс Bybit для проверки и утверждения транзакций.

4. Отмывание и распределение средств

Получив контроль над средствами, злоумышленники быстро распределили украденные ETH по нескольким кошелькам, чтобы скрыть свой след.

ETH были разделены на инкременты по 1 000 ETH и отправлены в более чем 40 различных кошельков.

Злоумышленники конвертировали ETH в другие криптовалюты или фиат через децентрализованные обменники (DEX), у которых отсутствуют требования "знай своего клиента" (KYC) центральных бирж, что затрудняет блокировку или возврат средств.

Анализ блокчейна и отслеживание средств

Компании по анализу блокчейна сыграли решающую роль в отслеживании украденных средств, несмотря на попытки злоумышленников скрыть их движения.

Ключевые компании и инструменты, вовлеченные в это, включают:

  • Elliptic: Компания по аналитике блокчейна, отслеживающая украденные ETH, поскольку они распределяются и ликвидируются. Программное обеспечение Elliptic анализирует паттерны транзакций и адреса кошельков для выявления подозрительной активности.
  • Arkham Intelligence: Другая аналитическая компания, предоставившая отслеживание средств в режиме реального времени, идентифицирующая связанные кошельки и потоки транзакций.
  • MistTrack от Slow Mist: Инструмент блокчейн-форенсики, используемый для отслеживания движения украденных ETH по сети Ethereum. MistTrack отметил тестовые транзакции и паттерны кошелька, указывающие на методы группы Лазарус.

Несмотря на эти усилия, скорость и масштаб ликвидации сделали восстановление сложным.

Использование злоумышленниками DEX и миксеров (инструментов, которые перемешивают криптовалюту для скрытия ее происхождения) дополнительно усложнили процесс.

Группа Лазарус: Виновники взлома

Кто такая группа Лазарус?

Группа Лазарус – это спонсируемый государством хакерский коллектив из Северной Кореи, известный организацией крупных киберпреступлений, включая кражи криптовалют, атаки с использованием программ-вымогателей и шпионаж.

Группа, как считается, действует под руководством Управления генеральной разведки Северной Кореи с основной целью – генерации дохода для режима.

Доказательства, связывающие группу Лазарус с взломом Bybit

Аналитики блокчейна, включая ZachXBT, связали взлом Bybit с предыдущими эксплойтами группы Лазарус на основе нескольких индикаторов.

  • Тестовые транзакции: Небольшие переводы, отправленные перед основной атакой для проверки функциональности кошелька, признак тактики Лазарус.
  • Связанные кошельки: Кошельки, использованные во взломе Bybit, были связаны с таковыми, участвовавшими в предыдущих хакерских атаках, таких как эксплойт Phemex.
  • Форенсик-диаграммы и тайминг-анализ: Паттерны в тайминге транзакций и активности кошельков соответствовали известным поведениям Лазарус.

Трек-рекорд группы Лазарус

Группа Лазарус имеет долгую историю краж криптовалют, с такими примечательными примерами как:

  • Взлом Ronin Network (2022): Похищены $600 миллионов в ETH и USDC с игровой платформы Axie Infinity.
  • Взлом Phemex (2024): Связан с взломом Bybit через подобные техники и паттерны кошельков.
  • Итоги 2024 года: Оценочно украдены $1,34 миллиарда в 47 атаках, что составляет 61% всех незаконных криптоактивностей за тот год.

Сложные техники группы, такие как эксплойты нулевого дня (ранее не известные уязвимости) и продвинутая социальная инженерия, делают их серьезной угрозой для криптоиндустрии.

Последствия для Ethereum и криптовалютной экосистемы

Безопасность Ethereum

Несмотря на масштаб взлома, Ethereum сам по себе не был компрометирован.

Уязвимость заключалась в внутренних процессах Bybit, а не в блокчейне Ethereum или его смарт-контрактах.

Вот почему.

Блокчейн Ethereum, являющийся децентрализованной книгой транзакций, оставался в безопасности. Атака не эксплуатировала недостатки в механизме консенсуса блокчейна (proof of stake) или его системе смарт-контрактов.

Утечка возникла из-за манипуляции утверждения транзакции, подчеркивая риски человеческо-центрированных процессов в управлении криптовалютами.

Хотя сам код смарт-контрактов не был взломан, манипуляция процессом утверждения через маскированный интерфейс вызывает опасения относительно безопасности пользовательских интерфейсов и механизмов подписания транзакций в многофакторных кошельках.

Более широкое влияние на рынок

Взлом имел как немедленные, так и каскадные эффекты на рынок криптовалют.

Цены на ETH упали более чем на 3% после подтверждения взлома, отражая повышенную волатильность.

Утечка совпала с конференцией ETHDenver, одной из крупнейших конференций экосистемы Ethereum, наложив медвежью тень на событие, обычно благоприятное для ETH.

Инцидент подорвал доверие к централизованным биржам, побудив пользователей усомниться в безопасности своих активов и повысить интерес к решениям децентрализованных финансов (DeFi).

И, конечно, сам факт, что самая большая хакерская атака произошла во время "бычьего" рынка, нельзя упускать из виду.

Реакция Bybit и усилия по восстановлению

Быстрая реакция Bybit помогла смягчить панику и продемонстрировала операционную стойкость. Обмен обработал более 580,000 запросов на вывод средств после взлома, обеспечивая доступ пользователей к их средствам.

Bybit также обеспечил мостовые кредиты для покрытия убытков, заверяя пользователей в своей платежеспособности. Биржа запустила программу, предлагая до 10% возвращенных средств этичным хакерам, которые помогли в возврате украденного ETH.

Эти меры, хотя и проактивные, подчеркивают трудности восстановления средств в таких масштабных взломах, особенно учитывая техники отмывания атакующих.

Меры предотвращения на будущее

Чтобы избежать подобных взломов, эксперты рекомендуют комплексный набор мер безопасности, основанных на лучших отраслевых практиках и выводах из инцидента с Bybit.

1. Многофакторная аутентификация (MFA)

Требовать несколько уровней проверки для утверждения транзакций, таких как:

  • Биометрическая аутентификация: Отпечаток пальца или распознавание лиц.
  • Аппаратные токены: Физические устройства, генерирующие одноразовые коды.
  • Одноразовые пароли на основе времени (TOTP): Приложения типа Google Authenticator для временных кодов.

2. Безопасные каналы связи

Использовать зашифрованные и проверенные каналы для всех коммуникаций, связанных с транзакциями, таких как:

  • Конечное шифрование электронной почты: Инструменты типа ProtonMail или Signal для безопасных сообщений.
  • Посвященные безопасные порталы: Внутренние системы для утверждения транзакций, изолированные от внешних угроз.

3. Регулярные проверки безопасности

Проводить частые оценки и тесты на проникновение для выявления уязвимостей:

  • Аудиты третьих сторон: Привлекать уважаемые компании для обзора протоколов безопасности.
  • Смоделированные атаки: Тестировать системы на сценарии фишинга, вредоносного ПО и социальной инженерии.

4. Обучение сотрудников

Обучать персонал распознаванию угроз социальной инженерии, таких как:

  • Осведомленность о целевом фишинге: Обучать сотрудников идентификации подозрительных писем или ссылок.
  • Гигиена учетных данных: Избегать повторного использования паролей или незащищенного хранения ключей.

5. Диверсифицированное управление активами

Размещать средства на нескольких кошельках для ограничения экспозиции:

  • Баланс холодных и горячих кошельков: Держать большинство средств в холодном хранилище, с минимальными суммами в горячих кошельках для ежедневных операций.
  • Мультисиг распределение: Использовать различные конфигурации мультисиг для разных пулов активов.

6. Системы обнаружения аномалий

Реализовать инструменты для обнаружения и оповещения о нетипичных паттернах транзакций, таких как:

  • Модели машинного обучения: Определение отклонений от нормальной активности, таких как крупные переводы в нетипичное время.
  • Оповещения в реальном времени: Уведомлять команды безопасности о подозрительных выводах средств.

7. Актуальность на угрозы

Постоянно обновлять меры безопасности для противодействия возникающим киберугрозам:

  • Потоки разведки угроз: Подписаться на службы, отслеживающие новые векторы атаки.
  • Защита от эксплойтов нулевого дня: Быстро внедрять патчи и обновления для решения только что выявленных уязвимостей.

Эти меры необходимы, особенно с учетом продвинутых техник группировки Лазаря, включающих эксплойты нулевого дня, сложную социальную инженерию и быстрое отмывание средств.

Заключение: уроки для криптоиндустрии

Взлом Bybit, крупнейшая кража криптовалюты в истории, подчеркивает постоянные проблемы с безопасностью, стоящие перед индустрией, особенно от спонсируемых государством акторов, таких как группа Лазаря.

Хотя Ethereum остается безопасным, инцидент подчеркивает необходимость надежных внутренних процессов, продвинутых мер кибербезопасности и постоянной бдительности для защиты цифровых активов.

По мере развития криптовалютной экосистемы биржам необходимо ставить приоритет на доверие пользователей и операционную устойчивость для эффективного управления такими кризисами.

Инцидент с Bybit служит ярким напоминанием о том, что даже самые безопасные платформы уязвимы к человеческим ошибкам и сложным атакам, подчеркивая важность слоями безопасности и сотрудничества на уровне индустрии для борьбы с киберпреступностью.

Отказ от ответственности: Информация, представленная в этой статье, предназначена исключительно для образовательных целей и не должна рассматриваться как финансовая или юридическая консультация. Всегда проводите собственное исследование или консультируйтесь с профессионалом при работе с криптовалютными активами.
Последние новости
Показать все новости
Ежедневные основные события криптовалютного рынка: Pi опережает, пока PARSIQ и BOB пользуются волной успеха
2 часов назад
Крипторынок заметил всплеск активности сегодня, с Pi в центре внимания после важного анонса сети. В то же время, Parsiq процветает благодаря переходу к более продвинутой сети автоматизации блокчейна
Стоимость Cardano падает на 22%, в то время как долгосрочные инвесторы остаются неизменными
3 часов назад
Cardano пережил резкое 22% снижение стоимости за последнюю неделю, что связано с более широкими потрясениями на рынке криптовалют. Цифровой актив, занимающий восьмое место по общей рыночной капитализа
Токен Banana поднимается на 44% несмотря на опасения инвестиционного оттока
5 часов назад
Криптовалюта Banana (BANANA) выросла в цене на 44% за прошедший день, достигнув $15.95, пытаясь выйти из нисходящего клина. Значительное движение цен происходит на фоне тревожных признаков того, что и
Связанные Новости
Убыток Bybit в размере $1,46 млрд от северокорейских хакеров устанавливает исторический рекорд
Feb 22, 2025
Компания по аналитике блокчейна Arkham Intelligence, с данными от следователя цепочки ZachXBT, приписывает $1,46 миллиарда хакерский взлом Bybit Группе Лазаря из Северной Кореи. Arkham, ранее назначив
Эпическая кража в Bybit на $1,5 млрд разожгла дебаты о безопасности архитектуры Ethereum
Feb 24, 2025
Опустошительный взлом криптовалютной биржи Bybit возобновил обеспокоенность по поводу безопасности блокчейнов. Северокорейская группа Lazarus успешно извлекла цифровые активы на сумму $1,5 млрд на про
Хакер Bybit отмывает $239M украденного Ethereum, $148M остаются под угрозой
Mar 04, 2025
Хакер криптовалют обработал 96,500 ETH, украденных с биржи Bybit, согласно анализу блокчейна. Быстрая операция по отмыванию произошла за последние 24 часа. Аналитик блокчейна Ember сообщает, что хаке
Safe Wallet признает, что его проблемы с безопасностью сыграли роль во взломе Bybit на $1,5 млрд
Feb 27, 2025
Криптовалютная компания Safe Wallet подтвердила, что ее инфраструктура была использована в ходе недавнего взлома Bybit на $1,5 млрд. Нарушение возникло из-за компрометированного устройства разработчик
Bybit подверглась взлому холодного кошелька на сумму $1,4 млрд в результате сложной схемы фишинга
Feb 21, 2025
Биржа криптовалют Bybit стала жертвой одной из крупнейших краж цифровых активов в истории. Взлом привел к потерям около $1,4 млрд в токенах Ethereum из холодного кошелька. Инцидент стал известен бла
Связанные статьи
10 крупнейших взломов криптовалютных бирж за последние годы
Sep 20, 2024
Ранним утром 20 сентября сингапурская криптовалютная биржа BingX подтвердила, что произошел взлом безопасности. По данным представителей компании, инцидент привел к «незначительным потерям активов». Н
5 основных способов защитить ваш криптовалютный кошелек от хакеров
Dec 31, 2024
Большинство новичков в криптовалюте стремятся купить несколько токенов и не особо заботятся о том, где их хранить. Это может быть критической ошибкой. Пренебрежение безопасностью может стоить вам очен
Топ-5 способов предотвратить атаки фронт-раннинга в блокчейне, о которых вы должны знать
Jan 11, 2025
Из всех опасностей, с которыми сталкивается эта децентрализованная экосистема, атаки фронт-раннинга являются одними из самых серьезных и неотложных. Что такое атаки фронт-раннинга и как защититься от
Безопасность DEX: Защита пользователей в децентрализованном мире
Jan 12, 2025
Децентрализованные биржи (DEX) стали краеугольным камнем экосистемы криптовалют, предоставляя пользователям беспрецедентный контроль над своими активами. Но насколько защищены DEX в сравнении с центра
Как найти потерянные биткоины: Полное руководство
Sep 26, 2024
Можно ли вернуть свои биткоины, если вы их потеряете? В этой статье вы найдете всю необходимую информацию. Существенное ограничение предложения Bitcoin, революционной криптовалюты, созданной в 2009 г