Подробности хакерской атаки на Bybit

По словам экспертов Chainalysis, атака была проведена по классическому сценарию работы северокорейских хакеров. Они использовали методы социальной инженерии, чтобы нацелиться на конкретных сотрудников Bybit, использовать уязвимости платформы, а потом отмыть украденные средства.

Условно атаку можно разделить на пять этапов. В ходе первого из них хакеры получили доступ к пользовательскому интерфейсу Bybit, совершая фишинговые атаки против владельцев подписей холодного кошелька биржи. В результате они подписали ряд вредоносных транзакций, которые заменили настоящий смарт-контракт кошелька на вредоносный.

Напомним, для проведения операций с крупными запасами монет на кошельках биржи используется мультиподпись. Это значит, что транзакция будет проведена после её одобрения несколькими адресами, а не одним. Соответственно, работа хакеров в данном случае значительно усложняется, ведь взлома одной жертвы для кражи крипты будет недостаточно.

Второй этап – вывод средств. Во время рутинной процедуры перевода средств из холодного кошелька Bybit на горячие кошельки хакеры перехватили контроль за процессом. Им удалось перенаправить около 401 тысячи ETH общей стоимостью почти 1.5 миллиарда долларов на подконтрольные им адреса.

Причём благодаря подмене интерфейса сотрудники платформы думали, что они отправляют монеты на нужные адреса и в целом проводят привычные операции. Однако на самом деле крипта перешла под контроль мошенников, и вернуть её уже скорее всего не получится.

В ходе третьего этапа хакеры занялись распределением средств. Похищенные активы были перемещены через сложную сеть промежуточных адресов. Такое рассредоточение – обычная тактика, используемая для запутывания следов и препятствия отслеживанию.

Четвёртый этап – конвертация и отмывание. Хакеры обменивали значительную часть украденных ETH на другие криптовалюты, включая BTC и децентрализованный стейблкоин DAI. Для перемещения активов между сетями они также использовали децентрализованные биржи, блокчейн-мосты и сервисы мгновенного обмена, не требующие прохождения процедуры подтверждения личности.

Долгосрочное хранение украденных средств – пятый и заключительный этап. Значительная часть монет продолжительное время будет оставаться нетронутой на кошельках, связанных с северокорейскими хакерами. Злоумышленники откладывают крупные операции по выводу активов, стараясь переждать общественный резонанс вокруг инцидента. Таким образом у них будет меньше препятствий для операций в будущем.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Эксперты Chainalysis отметили, что в последнее время кооперация в криптоиндустрии затрудняет работу хакеров. Вот комментарий по этому поводу.

Несмотря на масштабы атаки Bybit, прозрачность в основе технологии блокчейна представляет собой серьёзную проблему для злоумышленников, пытающихся отмыть украденные средства. Каждая транзакция записывается в публичный реестр, что позволяет властям и компаниям по кибербезопасности отслеживать и контролировать незаконную деятельность в режиме реального времени.

Представители Bybit действовали максимально быстро: биржа даже запустила программу вознаграждений, в ходе которой любой человек, способный помочь с возвратом средств, может получить до 10 процентов от украденного.

Компания вовремя признала инцидент и пошла на сотрудничество с рядом органов. Это позволило смягчить негативный эффект для всей индустрии в целом, а также достаточно быстро компенсировать сумму украденных эфиров посредством покупки и займов, что позволит удовлетворить все запросы пользователей на вывод крипты.

В 2023 году связанные с Северной Кореей хакеры похитили около 660.5 миллионов долларов в ходе двадцати атак. В 2024 году эта цифра увеличилась до 1.34 миллиарда долларов и 47 атак, что на 102 процента больше. Только взлом Bybit привёл к краже почти на 160 миллионов долларов больше, чем все доходы хакеров из Северной Кореи за прошлый год.

Возмещение убытков Bybit

Согласно данным источников Cointelegraph, сразу после хакерской атаки Bybit занялась возмещением потерянных средств, чтобы не нарушить процесс вывода активов пользователями. Для этого Bybit заняла 40 тысяч ETH общей стоимостью около 104 миллиона долларов у Bitget.

Спустя три дня долг перед Bitget полностью погашен, то есть Bybit остаётся платёжеспособной.

Факт возврата средств подтвердила генеральный директор Bitget Грейси Чен. Вот её комментарий.

Никаких процентов, никакого залога – просто поддержка нуждающегося в помощи товарища. Приятно видеть, что Bybit полностью восстановилась, и мы никогда не сомневались в возврате займа.

Усилия Bybit по восстановлению своих резервов не ограничились только этим. По данным Lookonchain, биржа получила в общей сложности 446 870 ETH на 1.23 миллиарда долларов за счёт комбинации кредитов, депозитов крупных инвесторов и покупки активов. Это составило почти 88 процентов от суммы похищенных средств.

Bybit брала займы для того, чтобы клиенты могли вывести средства в удобное для них время. На фоне неопределённости инвесторы вывели более 5 миллиардов долларов 22 февраля.

Аудитор Hacken отметил, что резервы криптоплатформы по-прежнему превышают её обязательства, то есть средства пользователей полностью обеспечены.


Взлом Bybit стал крупнейшей хакерской атакой в истории криптоиндустрии, но биржа сумела оперативно справиться с последствиями. Быстрое возмещение средств, сотрудничество с партнёрами и прозрачность блокчейна помогли минимизировать ущерб для пользователей. Однако фактор хакеров продолжает угрожать сфере монет, поэтому участникам рынка по-прежнему стоит заботиться о своей безопасности.


Больше полезной информации о криптовалютах можно найти в нашем чате. Ждём вас.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.