ИБ-эксперты связали северокорейскую хак-группу Lazarus с кражей почти 1,5 млрд долларов у криптовалютной биржи Bybit. Тем временем, компания объявила о вознаграждении в размере 10% от украденных средств (порядка 140 млн долларов) за любую информацию, которая поможет вернуть похищенное.
Напомним, что в конце прошлой недели злоумышленники похитили у Bybit криптовалюту на сумму более 1,46 млрд долларов, выведя средства с одного из холодных кошельков биржи. Эта атака стала крупнейшим криптовалютным взломом в истории, более чем вдвое превысившим предыдущий рекорд.
«21 февраля 2025 года примерно в 12:30 UTC компания Bybit обнаружила несанкционированную активность в одном из наших холодных кошельков Ethereum (ETH) во время обычного процесса перевода. Перевод был частью запланированного перемещения ETH из нашего холодного multisig-кошелька ETH в горячий кошелек, — рассказали представители Bybit в отчете об атаке. — К сожалению, транзакцией манипулировали при помощи сложной атаки, которая изменила логику смарт-контракта и интерфейс подписи, что позволило злоумышленнику получить контроль над холодным кошельком ETH. В результате более 400 000 ETH и stETH на сумму свыше 1,5 млрд долларов были переведены на неизвестный адрес».
Отметим, что эксперты компании Check Point полагают, что злоумышленники выявили лиц, ответственных за утверждение multisig-транзакций, а затем взломали их устройства с помощью некоего вредоносного ПО, фишинга или атаки на цепочку поставок.
Невзирая на кражу 1,5 млрд долларов и массовую волну запросов на вывод средств, в Bybit заверили, что все остальные холодные кошельки надежно защищены, средства клиентов находятся в безопасности, и инцидент не повлияет на работу биржи. Кроме того, генеральный директор Bybit Бен Чжоу (Ben Zhou) заявил, что Bybit платежеспособна и сможет покрыть все убытки.
Вскоре после атаки блокчейн-аналитик ZachXBT, первым обнаруживший инцидент, сообщил, что за атакой, вероятно, стоит северокорейская хак-группа Lazarus. Дело в том, что злоумышленники отправили украденные у Bybit средства на Ethereum-адрес, который ранее уже фигурировал в атаках на Phemex, BingX и Poloniex.
Также исследователь заявил, что Lazarus отмывает украденные ETH с помощью миксера eXch и переводит средства в Bitcoin через Chainflip.
Выводы ZachXBT подтверждают и специалисты TRM Labs, которые также пишут, что за взломом Bybit стоят северокорейские хакеры.
Блокчейн-аналитики из компании Elliptic тоже приписывают эту атаку Lazarus и отмечают, что украденные средства уже прошли через большое количество кошельков, и таким образом хакеры стремятся скрыть фактическое происхождение активов, замедлив попытки их отслеживания.
«Один конкретный обменник, eXch, похоже, сознательно отмыл украденные средства на сумму в десятки миллионов долларов, несмотря на призывы Bybit прекратить, — говорят в Elliptic. — Похищенные средства в основном конвертируются в биткоины. Если на этот раз повторятся предыдущие схемы отмывания средств, можно ожидать использования биткоин-миксеров, чтобы скрыть следы».
При этом в eXch отрицают все обвинения в умышленном отмывании украденных у Bybit средств, заявляя, что «eXch не отмывает деньги для Lazarus и Северной Кореи». Якобы на eXch поступила лишь малая часть средств, украденных у Bybit, это был единичный случай, и комиссия от этой операции будет передана на благотворительность.
Тем временем, представители Bybit объявили, что запускают программу вознаграждений, которая должна помочь вернуть украденные средства и вычислить хакеров, стоявших за этой атакой. Bybit пообещала выплатить 10% от возвращенных средств (до 140 млн долларов США) ИБ-экспертам, которые «сыграют активную роль в возвращении украденных криптовалют».
