Большую часть украденной у Bybit криптовалюты ещё можно отследить. Сможет ли биржа вернуть монеты?

21 февраля 2025 года случился исторический инцидент для криптоиндустрии: северокорейским хакерам из группировки Lazarus удалось провести успешную атаку на крупную криптобиржу Bybit. В результате площадка потеряла около 1.4 миллиарда долларов в крипте, что стало самой крупной кражей монет у централизованных платформ. Но есть и относительно хорошие новости: основная часть украденных средств с Bybit всё ещё отслеживается в блокчейнах.

Cколько денег украли у Bybit?

Ряд экспертов платформ кибербезопасности пришли к заключению, что за атакой стоят именно Lazarus. Кража у Bybit позволила хакерам превзойти самих себя по ряду антирекордов уже в начале 2025 года.

В целом злоумышленники предпринимают активные меры по сокрытию следов перемещения средств. Однако 88.87 процента из украденных монет можно отследить, отметил руководитель Bybit Бен Чжоу. Вот его комментарий.

Общий объём украденных средств составил 1.4 миллиарда долларов или около 500 тысяч ETH. 88.87 процента монет можно отследить, 7.59 процента стали недоступными, 3.54 процента были заморожены. Из общего объёма 86.29 процента средств были конвертированы в 12 836 BTC на 9 117 кошельках — в среднем 1.41 BTC на кошелёк.

Глава биржи добавил, что монеты затем прошли через криптомиксеры, включая Wasabi, CryptoMixer, Railgun и Tornado Cash. Речь идёт о платформах, которые используются злоумышленниками в попытках замести следы в блокчейне, то есть ликвидировать связь между кошельками с теми же монетами.

Кампания по вознаграждению Bybit

Согласно данным источников Cointelegraph, отчёт руководителя платформы был опубликован почти месяц спустя после её взлома. В то же время ранее Lazarus понадобилось десять дней, чтобы отмыть 100 процентов украденных средств с Bybit через децентрализованный кроссчейн-протокол THORChain.

Тем не менее, эксперты надеются, что часть этих средств всё ещё можно будет заморозить и вернуть Bybit. Расшифровка транзакционных паттернов через криптомиксеры остаётся крупнейшей проблемой в отслеживании средств, отметил Чжоу.

За последние 30 дней было получено 5012 отчётов в рамках баунти-кампании, из которых лишь 63 оказались действительными. Мы приветствуем больше информации: нам нужно больше участников, которые могут расшифровывать работу миксеров.

Ещё один вывод после инцидента – криптоиндустрии нужны новые умы, которые могли бы участвовать в кампаниях по вознаграждению за поиск украденных средств. Также в дефиците белые хакеры, способные бороться с набирающей обороты активностью Lazarus.

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

В рамках кампании по вознаграждению за полезную информацию о хакерской атаке Bybit выплатила более 2.2 миллиона долларов двенадцати людям. Биржа предлагает 10 процентов от возвращённых средств в качестве вознаграждения для белых хакеров и аналитиков.

Как мошенники крадут крипту через TradingView

Северокорейские хакеры – не единственная опасность для поклонников криптовалюты. Компания по кибербезопасности Malwarebytes предупредила о новом виде вредоносного программного обеспечения, которое крадёт крипту. По данным источников, оно скрыто внутри взломанной версии TradingView Premium.

Мошенники размещают ссылки на установщик ПО на сабреддитах, посвящённых крипте. Ссылки вызывают интерес, поскольку TradingView является одним из самых популярных инструментов трейдеров.

Ситуацию прокомментировал старший аналитик по безопасности Malwarebytes Жером Сегура.

У нас есть информация о жертвах, чьи криптокошельки были опустошены. Затем мошенники подделывали личности этих жертв и рассылали вредоносные ссылки их контактам.

Пост мошенников на Reddit с целью кражи криптовалют

Злоумышленники утверждают, что по ссылке можно найти взломанную версию программы с премиум-функциями, которые в реальном TradingView доступны только по подписке. На самом деле вредоносный клиент содержит два вредоносных ПО. Это Lumma Stealer и Atomic Stealer.

Lumma Stealer – программа для кражи информации, которая существует с 2022 года и в первую очередь нацелена на криптокошельки и расширения для браузеров для двухфакторной аутентификации (2FA). Atomic Stealer был впервые обнаружен в апреле 2023 года и известен своей способностью захватывать пароли администратора и ключи в хранилище паролей.

Кроме «TradingView Premium Cracked», мошенники также предлагают другие фейковые версии программного обеспечения для трейдинга.

Криптовалютный хакер

Сегура отметил, что одной из интересных особенностей схемы злоумышленников является то, что они активно налаживают контакт с жертвой и помогают с установкой клиента.

Что интересно в этой конкретной схеме, так это то, как вовлечён автор поста на Reddit, который активно участвует в обсуждениях. Он «помогает» пользователям, задающим вопросы или сообщающим о проблемах.

Происхождение вредоносного ПО не удалось определить точно, но эксперты Malwarebytes обнаружили, что сайт-хостинг файлов принадлежит компании по уборке из Дубая. При этом сервер управления и контроля вредоносного ПО был зарегистрирован кем-то из РФ примерно неделю назад.

Судя по всему, активность пользователей действительно мешает хакерам, которые продолжают прикладывать усилия для отмывания монет. Впрочем, препятствовать этому в полной мере не удастся. Поэтому пользователям по-прежнему стоит задуматься о хранении крипты с помощью аппаратных кошельков.

Больше интересной информации о крипте ищите в нашем чате. Ждём вас там, чтобы не пропустить следующую волну роста цифровых активов.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.