Новини
Злом на Bybit на $1,5 мільярда пояснено: як хакерам вдалося отримати доступ до холодних гаманців, чи компрометований Ethereum?
token_sale
token_sale
Приєднуйтесь до продажу токенів Yellow Network та забезпечте своє місцеПриєднатися зараз
token_sale

Злом на Bybit на $1,5 мільярда пояснено: як хакерам вдалося отримати доступ до холодних гаманців, чи компрометований Ethereum?

Злом на Bybit на $1,5 мільярда пояснено: як хакерам вдалося отримати доступ до холодних гаманців, чи компрометований Ethereum?

Внаслідок найбільшої криптовалютної крадіжки на сьогодні, біржа, заснована в Сейшельських островах, Bybit втратила близько $1,5 мільярда в Ethereum (ETH) 21 лютого 2025 року, через складний злом хакерами, пов’язаними з Північною Кореєю.

Злом, підтверджений генеральним директором Bybit Беном Джоу, знаменує значну ескалацію кіберзлочинів, спрямованих на індустрію криптовалют, і викликає критичні питання щодо безпеки цифрових активів.

Спробуємо зробити глибокий аналіз зламу, технічних методів, використаних у ньому, ролі аналізу блокчейну, участі групи Lazarus та ширших наслідків для екосистеми криптовалют.

Bybit: Важливий учасник ринку криптовалют

Bybit, заснований у 2018 році зі штаб-квартирою в Сейшельських островах, зарекомендував себе як провідна криптовалютна біржа, відома своїми великими обсягами торгівлі та різноманітними пропозиціями, включаючи купівлю і продаж криптовалют за поточними ринковими цінами, спекуляцію на майбутніх цінових рухах з використанням кредитного плеча, отримання винагороди за фіксацію коштів для підтримки операцій блокчейну.

Зручний інтерфейс і репутація міцних заходів безпеки на біржі, таких як багатопідписні (multi-sig) холодні гаманці та регулярні аудити безпеки, залучили глобальну базу користувачів. Ця репутація зробила злом особливо тривожним, оскільки він виявив вразливості навіть у найбільш довірених платформах.

Виявлення зламу

Першим злам виявив аналітик на блокчейні ZachXBT, який позначив підозрілі витоки загальною сумою $1,46 мільярда з гаманців Bybit о 10:20 ранку за східним часом 21 лютого 2025 року.

Ці витоки, що включали 401,347 ETH, викликали негайні занепокоєння щодо можливого зламу системи безпеки. Протягом 30 хвилин генеральний директор Bybit Бен Джоу підтвердив інцидент у своєму пості на X (колишньому Twitter), приписавши атаку «замаскованій» техніці транзакцій, яка експлуатувала багатопідписний холодний гаманець біржі під час рутинного переводу до теплого гаманця.

Розуміння багатопідписних холодних гаманців і їхньої безпеки

Що таке багатопідписний холодний гаманець?

Багатопідписний (multi-sig) холодний гаманець — це тип криптовалютного сховища, розроблений для підвищення безпеки, який вимагає кілька приватних ключів для авторизації транзакції.

На відміну від одноключевих гаманців, які покладаються на один ключ і є більш вразливими до крадіжок, багатопідписні гаманці розподіляють контроль серед кількох сторін або пристроїв. Наприклад, гаманець із 2 з 3 підписів вимагає схвалення транзакції двома з трьох призначених підписувачів.

Холодні гаманці, у свою чергу, є офлайн-рішеннями для зберігання, тобто вони не підключені до Інтернету, що зменшує ризик онлайн-атак, таких як хакінг або фішинг.

Налаштування багатопідписного холодного гаманця Bybit вимагало схвалення від кількох підписувачів, що є стандартною практикою для захисту великих обсягів криптовалюти.

Використання багатопідписних холодних гаманців на Bybit було призначене для захисту великих обсягів ETH, що робить злом особливо дивним і підкреслює складність атаки.

Як був виконаний злом: Технічні деталі

Хакери обійшли безпеку багатопідписної системи Bybit за допомогою комбінації соціальної інженерії та просунутої технічної маніпуляції.

Ось детальний розбір атаки:

1. Первинний доступ через соціальну інженерію

Хакери, за припущеннями, були частиною групи Lazarus з Північної Кореї, ймовірно, отримали первинний доступ через просунуті фішингові техніки, такі як:

  • Фішингові листи з метою: Цільові листи, створені для того, щоб обманути працівників або підписувачів і змусити їх розкрити облікові дані або натиснути на шкідливі посилання.
  • Фальшиві вебсайти: Фішингові сайти, що імітують законні інтерфейси Bybit для захоплення приватних ключів або фраз-посівів.
  • Зараження шкідливим програмним забезпеченням: Впровадження шкідливого коду для компрометації систем або пристроїв, які використовуються підписувачами.

Ці тактики соціальної інженерії експлуатували людські помилки, критичну вразливість навіть у найбільш безпечних системах.

2. Маніпуляція транзакціями через замаскований інтерфейс

Під час рутинної передачі з багатопідписного холодного гаманця Bybit з ETH до теплого гаманця (онлайн гаманця для швидших транзакцій), хакери виконали свою експлуатацію.

Хакери змінили інтерфейс підписання, компонент, з яким користуються підписувачі для підтвердження транзакцій. Цей інтерфейс був маніпульований, щоб відобразити легітимну адресу транзакції, водночас вбудовуючи шкідливий код у логіку смарт-контракту.

Підписувачі, не знаючи про маніпуляцію, схвалили те, що здавалося рутинною передачею. Однак підтверджена транзакція містила шкідливий код, який змінив механізми контролю гаманця.

3. Зміна логіки смарт-контрактів

Шкідливий код, вбудований у транзакцію, експлуатував вразливості в процесі схвалення транзакцій.

Підтверджена транзакція змінила логіку смарт-контракту, надаючи хакерам контроль над гаманцем. Це дозволило їм перевести 401,347 ETH на невпізнаний адрес під їхнім контролем.

Атака не скомпроментувала блокчейн Ethereum або його смарт-контракти, але натомість експлуатувала внутрішній процес Bybit для валідації та схвалення транзакцій.

4. Легалізація і розсіювання коштів

Отримавши контроль над коштами, хакери швидко розігнали вкрадені ETH по різних гаманцях, щоб заплутати слід.

ETH були розділені на інкременти по 1,000 ETH і надіслані до понад 40 різних гаманців.

Нападники конвертували ETH в інші криптовалюти або фіат через децентралізовані біржі (DEXs), які не мають вимог до знань клієнта (KYC), що ускладнює їх заморожування або повернення.

Аналіз блокчейну та відстеження коштів

Фірми, які займаються аналізом блокчейну, зіграли ключову роль у відстеженні вкрадених коштів, незважаючи на спроби зловмисників ускладнити їхнє переміщення.

Ключові фірми та інструменти, які брали участь:

  • Elliptic: Фірма з аналізу блокчейнів, що відстежувала вкрадені ETH під час їх розсіювання та ліквідації. Програмне забезпечення Elliptic аналізує схеми транзакцій та адреси гаманців для виявлення подозрілої активності.
  • Arkham Intelligence: Інша аналітична фірма, яка надавала реальне відстеження коштів, ідентифікуючи пов'язані гаманці та потоки транзакцій.
  • MistTrack від Slow Mist: Інструмент для блокчейн-форензіки, використовуваний для складання карти руху вкрадених ETH через мережу Ethereum. MistTrack позначав тестові транзакції та схеми гаманців, що відповідали технікам групи Lazarus.

Незважаючи на ці зусилля, швидкість і масштаб ліквідації ускладнили відновлення.

Використання нападниками DEXs і міксерів (інструменти, які перемішують криптовалюту, щоб приховати її походження) ще більше ускладнили процес.

Група Lazarus: Винуватці зламу

Хто така група Lazarus?

Група Lazarus — це північнокорейська державна група хакерів, відома організацією резонансних кіберзлочинів, включаючи криптовалютні зломи, атаки з використанням шкідливого ПЗ та шпигунство.

Вважається, що група діє за вказівкою Серверу розвідки Північної Кореї з основною метою генерування доходу для режиму.

Докази, що пов'язують Lazarus із зломом Bybit

Аналітики блокчейнів, включаючи ZachXBT, пов'язали злом Bybit з попередніми експлуатаціями групи Lazarus на основі декількох індикаторів.

  • Тестові транзакції: Невеликі перекази, здійснені перед основною атакою для тестування функціональності гаманця, є характерною особливістю тактик групи Lazarus.
  • Пов'язані гаманці: Гаманці, використані у зломі Bybit, були пов'язані з тими, що були залучені в попередніх зломах, таких як експлуатація Phemex.
  • Форензичні діаграми та аналіз часу: Шаблони часу транзакцій та активності гаманців відповідали відомим поведінкам групи Lazarus.

Слід групи Lazarus

Група Lazarus має довгу історію крадіжок криптовалют, у тому числі:

  • Хак на мережі Ronin (2022): Вкрадено $600 мільйонів в ETH і USDC з платформи Axie Infinity.
  • Хак на Phemex (2024): Зв'язаний зі зломом Bybit через схожі техніки та схеми гаманців.
  • Підсумки 2024 року: Оціночно вони вкрали $1,34 мільярда через 47 зломів, що становить 61% всіх протиправних акцій з крипто в тому році.

Витончені техніки групи, такі як експлуатації нульового дня (невідомі раніше вразливості) та складна соціальна інженерія, роблять їх серйозною загрозою для індустрії криптовалют.

Наслідки для Ethereum та криптовалютної екосистеми

Безпека Ethereum

Незважаючи на масштаби зламу, Ethereum сам не був скомпрометованим.

Вразливість полягала у внутрішніх процесах Bybit, а не в блокчейні Ethereum або його смарт-контрактах.

Ось чому.

Блокчейн Ethereum, децентралізований реєстр транзакцій, залишився захищеним. Атака не експлуатувала недоліки в механізмі консенсусу блокчейна (proof of stake) або його системі смарт-контрактів.

Злом був спричинений маніпуляціями в процесі схвалення транзакцій, що підкреслює ризики людських процесів в управлінні криптовалютою.

Хоча сам код смарт-контракту не був зламаний, маніпуляція процесу схвалення через замаскований інтерфейс піднімає питання щодо безпеки користувацьких інтерфейсів та механізмів підписування транзакцій в багатопідписних гаманцях.

Ширші наслідки для ринку

Злом мав негайний та ланцюговий вплив на ринок криптовалют.

Ціни ETH впали більш ніж на 3% після підтвердження зламу, відображаючи підвищену волатильність.

Злам збігся з подією ETHDenver, однією з найбільших конференцій екосистеми Ethereum, що кидає ведмежу тінь на подію, яка зазвичай підвищує оптимізм навколо ETH.

Інцидент підриває довіру до централізованих бірж, змушуючи користувачів ставити під питання безпеку своїх активів та збільшує інтерес до рішень децентралізованих фінансів (DeFi).

І, звичайно, не слід забувати, що найбільший злам за історію відбувся під час ринку зростання.

Реакція та зусилля Bybit щодо відновлення

Швидка реакція Bybit допомогла пом'якшити паніку та продемонструвати операційну стійкість.

Content: Біржа обробила понад 580,000 запитів на виведення коштів після злому, забезпечуючи користувачам доступ до їхніх коштів.

Bybit також забезпечила мости-позики для покриття збитків, заспокоюючи користувачів у своїй платоспроможності. Біржа запустила програму, яка пропонує до 10% відновлених коштів етичним хакерам, які допомагають у поверненні вкраденого ETH.

Ці заходи, хоча і проактивні, підкреслюють складність відновлення коштів у таких великомасштабних зломах, особливо з урахуванням технік відмивання грошей, які використовують зловмисники.

## Запобіжні заходи на майбутнє

Щоб уникнути подібних зломів, експерти рекомендують комплексний набір заходів безпеки на основі найкращих практик індустрії та досвіду інциденту з Bybit.

### 1. **Багатофакторна автентифікація (MFA)**

Вимагати кількох рівнів верифікації для підтвердження транзакцій, таких як:

- **Біометрична автентифікація**: Відбитки пальців або розпізнавання обличчя.
- **Апаратні токени**: Фізичні пристрої, що генерують одноразові коди.
- **Часові одноразові паролі (TOTP)**: Додатки, такі як Google Authenticator, для тимчасових кодів.

### 2. **Безпечні канали зв'язку**

Використовувати зашифровані та перевірені канали для всіх комунікацій, пов'язаних з транзакціями, таких як:

- **Повністю зашифрований електронний лист**: Інструменти, такі як ProtonMail або Signal, для безпечного обміну повідомленнями.
- **Спеціалізовані безпечні портали**: Внутрішні системи для затвердження транзакцій, ізольовані від зовнішніх загроз.

### 3. **Регулярні аудити безпеки**

Проводити часті оцінки та тестування на проникнення для виявлення вразливостей:

- **Аудити сторонніми компаніями**: Залучити відомі фірми для огляду протоколів безпеки.
- **Імітовані атаки**: Перевірити системи проти фішингу, зловмисного ПЗ та сценаріїв соціальної інженерії.

### 4. **Навчання співробітників**

Навчати персонал розпізнавати загрози соціальної інженерії, такі як:

- **Обізнаність про цільові атаки**: Навчити співробітників розпізнавати підозрілі листи чи посилання.
- **Гігієна паролів**: Уникати повторного використання паролів чи небезпечного зберігання ключів.

### 5. **Диверсифіковане управління активами**

Розподілити кошти між кількома гаманцями для обмеження ризиків:

- **Баланс холодних і гарячих гаманців**: Зберігати більшу частину коштів у холодному зберіганні, з мінімальною кількістю у гарячих гаманцях для повсякденної діяльності.
- **Розподіл мультисиг**: Використовувати різні конфігурації мультисиг для різних пулів активів.

### 6. **Системи виявлення аномалій**

Впровадити інструменти для виявлення та сповіщення про незвичні транзакційні активності, такі як:

- **Моделі машинного навчання**: Виявляти відхилення від звичайної активності, такі як великі перекази у нетиповий час.
- **Сповіщення в реальному часі**: Повідомляти команди безпеки про підозрілі витрати.

### 7. **Будьте в курсі загроз**

Безперервно оновлюйте заходи безпеки для протидії новим кіберзагрозам:

- **Потоки інтелекту про загрози**: Підписатися на сервіси, що відстежують нові вектори атак.
- **Захист від екплойтів нульового дня**: Вчасно впроваджувати патчі та оновлення для усунення нововиявлених вразливостей.

Ці заходи є необхідними, особливо з урахуванням передових технік групи Lazarus, які включають експлойти нульового дня, складну соціальну інженерію та швидке відмивання коштів.

---

## Висновок: Уроки для криптоіндустрії

Злом Bybit, найбільше пограбування криптовалюти в історії, підкреслює постійні проблеми безпеки, з якими стикається індустрія, особливо з боку підтримуваних державою акторів, таких як група Lazarus.

Хоча Ethereum залишається безпечним, інцидент підкреслює необхідність надійних внутрішніх процесів, передових заходів кібербезпеки та постійної пильності для захисту цифрових активів.

У міру розвитку екосистеми криптовалют, біржі повинні пріоритетизувати довіру користувачів та операційну стійкість для ефективного подолання таких криз.

Порушення Bybit служить чітким нагадуванням про те, що навіть найбільш захищені платформи схильні до людських помилок та складних атак, підкреслюючи важливість багатошарової безпеки та співпраці в межах галузі для боротьби з кіберзлочинністю.
Застереження: Інформація, надана в цій статті, є виключно освітньою і не повинна розглядатися як фінансова або юридична консультація. Завжди проводьте власні дослідження або звертайтеся до фахівців перед тим, як працювати з криптовалютними активами.
Останні новини
Показати всі новини
Трендові монети-меми тижня: MEW зростає, а GHIBLI та MUBARAK падають
6 годин тому
Як Bitcoin утримує свою позицію, арена мем-коінів продовжує викликати бурхливі коливання, причому деякі імена швидко піднімаються, а інші падають так само швидко. Цього тижня п'ять токенів домінува
Монети тижня, що зростають: TUT стрімко піднімається, MOVE проривається — що підживлює ажіотаж?
Mar 29, 2025
Хоча Bitcoin демонструє відносну стабільність, хвиля активності проноситься по альткоїнах — особливо токенах-мемах та екосистемних токенах. Від малих, таких як TUT, що демонструють вибухове зростання
XRP падає на 20% попри $50 мільйонне врегулювання Ripple з SEC
Mar 29, 2025
XRP's ціна різко впала на більше ніж 20% протягом тижня після оголошення генерального директора Ripple Бреда Гарлінгхауса про завершення судової справи з SEC, впавши з піку у $2.60 до $2.05, попри те,
Схожі новини
Збиток Bybit у розмірі $1.46 млрд від північнокорейських хакерів встановлює історичний рекорд
Feb 22, 2025
Аналітична компанія з блокчейну Arkham Intelligence, разом з он-лайн слідчим ZachXBT, приписує злам Bybit вартістю $1.46 мільярда групі Lazarus з Північної Кореї. Arkham, яка раніше оголосила премію в
Епік Хак на Bybit на $1,5 млрд Порушив Дебати стосовно Безпеки Архітектури Ethereum
Feb 24, 2025
Руйнівний взлом криптовалютної біржі Bybit знову привернув увагу до питань безпеки блокчейну. Група Лазарус з Північної Кореї минулого тижня успішно викрала цифрові активи вартістю $1,5 мільярда. Викр
Хакер Bybit відмиває $239M викраденого Ethereum, $148M досі під загрозою
Mar 04, 2025
Хакер криптовалют обробив 96,500 ETH, викрадених з біржі Bybit, згідно з аналізом блокчейну. Операція з відмивання відбулась протягом останніх 24 годин. Блокчейн-аналітик Ember повідомляє, що спочатк
Safe Wallet визнає, що його порушення безпеки зіграло роль у зломі Bybit на $1.5 млрд
Feb 27, 2025
Криптовалютна компанія безпеки Safe Wallet підтвердила, що її інфраструктура була використана під час недавнього $1.5bn зламу Bybit. Порушення виникло через скомпрометовану машину для розробки, яка об
Bybit зіткнувся з крадіжкою $1.4 млрд з холодного гаманця у складній фішинговій схемі
Feb 21, 2025
Криптовалютна біржа Bybit стала жертвою однієї з найбільших крадіжок цифрових активів в історії. Порушення призвело до втрат приблизно $1.4 мільярда в токенах Ethereum з холодного гаманця. Інцидент с
Схожі дослідницькі статті
Криптовалютні "кити" на свободі: їх величезний вплив на бичачий ринок 2024 року
Nov 15, 2024
Ринок криптовалют наразі переживає помітний приплив, оскільки як Bitcoin, так і Ethereum досягають рекордно високих показників. Цей зрив привернув інтерес від трейдерів та інвесторів, відновлюючи деба
7 причин, чому біткоїн домінує над етереумом: чому так зване "фліппенінг" не відбудеться незабаром (або ніколи)
Oct 28, 2024
Bitcoin's market capitalization exceeds $1.357 trillion as its value edges above $68,500 in late October 2024, so preserving a notable $1 trillion lead over Ethereum. Although Ethereum's percentage
Глибокий занур в екосистему Linea: основний аналіз
Jan 17, 2025
Linea є одним з найвпливовіших проектів рівня 2. Вона відома тим, що використовує технологію zero-knowledge roll-up, створюючи сильну спільноту та потужний голос у швидко зростаючому середовищі Web
Solana vs. Ethereum: 6 вирішальних переваг SOL, 3 причини, чому ETH досі не впаде
Nov 05, 2024
Два альтернативні койни завжди були особливо помітні у завжди мінливому середовищі криптовалют: Ethereum і Solana. Обидва створили важливі ніші в екосистемі блокчейн і мають особливі якості, які приве
ChatGPT проти DeepSeek: Який ШІ краще відповідає на запитання про криптовалюту?
Feb 05, 2025
На тлі того, як американський фондовий ринок стає виключно червоним, а весь світ колективно втрачає голову через те, що DeepSeek з Китаю робить свій грандіозний дебют, ми подумали — чому б не провести
Схожі навчальні матеріали
5 найкращих способів захистити ваш криптогаманець від хакерів
Dec 31, 2024
Більшість новачків у криптовалюті поспішають купити токени і не надто піклуються про те, де їх зберігати. Це може бути критичною помилкою. Ігнорування безпеки може обійтись вам дорого. Захист вашого г
Безпека DEX: Захист користувачів у децентралізованому світі
Jan 12, 2025
Децентралізовані біржі (DEX) стали наріжним каменем екосистеми криптовалют, надаючи користувачам безпрецедентний контроль над своїми активами. Але наскільки безпечні DEX порівняно з централізованими б
Топ 5 способів запобігти атакам з фронт-ранінгу в блокчейні, які вам варто знати
Jan 11, 2025
З усіх небезпек, які загрожують цій децентралізованій екосистемі, атаки з фронт-ранінгу є одними з найгірших та найнагальніших. Що таке атаки з фронт-ранінгу та як захистити себе від них? Тепер перейд
Як знайти втрачені біткоїни: Повний путівник
Mar 04, 2025
Is there a way to get your Bitcoins back if you do lose them? You will find all the information you require in this article. Існує природне обмеження на кількість біткоїнів, революційної криптовалюти
Посібник з криптовалютного флеш-крешу: Що кожен трейдер має знати
Jan 28, 2025
Як ринок криптовалют пережив флеш-креш учора, знецінючи позиції на 850 мільйонів через випуск китайського AI чатбота DeepSeek і його вплив на інші AI-компанії. Давайте розглянемо, що таке флеш-креш