Истории года. Ограбление Bybit

Взлом

Пер­вым на стран­ное дви­жение средств обра­тил вни­мание извес­тный блок­чейн‑ана­литик ZachXBT. Он заметил, что с бир­жи вывели крип­товалю­ту на сум­му 1,46 мил­лиар­да дол­ларов США.

Вско­ре эксперт заявил, что его собс­твен­ные источни­ки под­твержда­ют: это «свя­зан­ный с безопас­ностью инци­дент», а часть токенов mETH и stETH уже обме­нива­ют на ETH через децен­тра­лизо­ван­ные бир­жи. Кро­ме того, по его сло­вам, 10 тысяч ETH (око­ло 22 мил­лионов дол­ларов) прак­тичес­ки сра­зу были раз­делены меж­ду 39 кошель­ками.

Вско­ре факт ата­ки офи­циаль­но под­твер­дили и пред­ста­вите­ли Bybit.

21 фев­раля 2025 года при­мер­но в 12:30 UTC ком­пания Bybit обна­ружи­ла несан­кци­они­рован­ную активность в одном из наших холод­ных кошель­ков Ethereum (ETH) во вре­мя обыч­ного про­цес­са перево­да. Перевод был частью зап­ланиро­ван­ного переме­щения ETH из нашего холод­ного multisig-кошель­ка ETH в горячий кошелек, — писали пред­ста­вите­ли Bybit в отче­те об ата­ке. — К сожале­нию, тран­закци­ей манипу­лиро­вали при помощи слож­ной ата­ки, которая изме­нила логику смарт‑кон­трак­та и интерфейс под­писи, что поз­волило зло­умыш­ленни­ку получить кон­троль над холод­ным кошель­ком ETH. В резуль­тате более 400 тысяч ETH и stETH на сум­му свы­ше 1,5 мил­лиар­да дол­ларов были переве­дены на неиз­вес­тный адрес.

Тог­да в Bybit под­черки­вали, что все осталь­ные холод­ные кошель­ки надеж­но защище­ны, средс­тва кли­ентов находят­ся в безопас­ности, а работа бир­жи не пос­тра­дала в резуль­тате инци­ден­та. Кро­ме того, генераль­ный дирек­тор Bybit Бен Чжоу (Ben Zhou) заявил, что Bybit по‑преж­нему пла­тежес­пособ­на и смо­жет пок­рыть все убыт­ки.

В течение нес­коль­ких дней пос­ле взло­ма Bybit дей­стви­тель­но пол­ностью вос­ста­нови­ла свои резер­вы Ethereum, закупив или взяв в долг необ­ходимое количес­тво токенов.

Анализ атаки

Вско­ре пос­ле взло­ма ИБ‑экспер­ты свя­зали эту ата­ку с северо­корей­ской хак­груп­пой Lazarus. В час­тнос­ти, экспер­ты ком­пании Check Point пред­положи­ли, что зло­умыш­ленни­ки выяви­ли лиц, ответс­твен­ных за утвер­жде­ние multisig-тран­закций, а затем взло­мали их устрой­ства с помощью неко­его вре­донос­ного ПО, фишин­га или ата­ки на цепоч­ку пос­тавок.

Уже упо­мяну­тый эксперт ZachXBT тоже писал о при­час­тнос­ти Lazarus. Дело в том, что зло­умыш­ленни­ки отпра­вили укра­ден­ные у Bybit средс­тва на Ethereum-адрес, который ранее уже фигури­ровал в ата­ках на бир­жи Phemex, BingX и Poloniex.

Вы­воды спе­циалис­та под­твер­дили ана­лити­ки ИБ‑ком­паний TRM Labs и Elliptic, сооб­щившие, что за взло­мом Bybit сто­ят зло­умыш­ленни­ки из КНДР.

В отче­тах иссле­дова­телей отме­чалось, что укра­ден­ные средс­тва прош­ли через боль­шое количес­тво кошель­ков, — таким обра­зом хакеры стре­мились скрыть фак­тичес­кое про­исхожде­ние акти­вов, замед­лив попыт­ки их отсле­жива­ния.

Вско­ре о при­час­тнос­ти Север­ной Кореи к этой ата­ке объ­яви­ли и в ФБР. Пра­воох­раните­ли свя­зали инци­дент с груп­пиров­кой TraderTraitor (она же Lazarus и APT38) и опуб­ликова­ли 51 Ethereum-адрес, на котором хра­нилась или хра­нит­ся крип­товалю­та, укра­ден­ная у Bybit.

Фе­дераль­ное бюро рас­сле­дова­ний (ФБР) пуб­лику­ет этот бюл­летень безопас­ности, что­бы пре­дуп­редить, что Корей­ская Народ­но‑Демок­ратичес­кая Рес­публи­ка (Север­ная Корея) несет ответс­твен­ность за кра­жу при­мер­но 1,5 мил­лиар­да дол­ларов США в вир­туаль­ных акти­вах с крип­товалют­ной бир­жи Bybit, совер­шенную 21 фев­раля 2025 года, — гла­сило заяв­ление ФБР. — Учас­тни­ки TraderTraitor дей­ству­ют быс­тро и кон­верти­рова­ли часть укра­ден­ных акти­вов в бит­коин и дру­гие вир­туаль­ные средс­тва, рас­пре­делен­ные по тысячам адре­сов на нес­коль­ких блок­чей­нах. Ожи­дает­ся, что эти акти­вы будут отмы­ты и в конеч­ном ито­ге кон­верти­рова­ны в фиат­ную валюту.

Поз­же пред­ста­вите­ли Bybit подели­лись сра­зу дву­мя отче­тами об инци­ден­те, под­готов­ленны­ми экспер­тами ком­паний Sygnia и Verichains. Спе­циалис­ты уста­нови­ли, что ата­ка исхо­дила из инфраструк­туры плат­формы multisig-кошель­ков Safe{Wallet}.

Ата­ка была нацеле­на имен­но на Bybit и осу­щест­вля­лась через внед­рение вре­донос­ного JavaScript в app.safe.global, через который под­писан­ты Bybit осу­щест­вля­ли под­пись тран­закций. Полез­ная наг­рузка была раз­работа­на таким обра­зом, что­бы акти­виро­вать­ся толь­ко при выпол­нении опре­делен­ных усло­вий. Бла­года­ря столь изби­ратель­ному выпол­нению бэк­дор оста­вал­ся не замечен­ным обыч­ными поль­зовате­лями, при этом ком­про­мети­руя толь­ко осо­бо важ­ные цели, — рас­ска­зали в Verichains. — Осно­выва­ясь на резуль­татах рас­сле­дова­ния, про­веден­ного на компь­юте­рах под­писан­тов Bybit, а так­же изу­чении кеширо­ван­ного вре­донос­ного JavaScript-пей­лоада, най­ден­ного в Wayback Machine, мы приш­ли к выводу, что учет­ная запись AWS S3 или акка­унт CloudFront/API-ключ Safe.Global, веро­ятно, были ском­про­мети­рова­ны или пос­тра­дали от утеч­ки.

Че­рез две минуты пос­ле выпол­нения и пуб­ликации вре­донос­ной тран­закции в акка­унт Safe{Wallet} на AWS S3 были заг­ружены новые вер­сии JavaScript-ресур­сов, — добави­ли в Sygnia. — Из этих обновлен­ных вер­сий был уда­лен вре­донос­ный код.

Так­же экспер­ты Sygnia сооб­щали, что обна­ружи­ли вре­донос­ный JavaScript-код (нацелен­ный на холод­ный multisig-кошелек Bybit), который был заг­ружен из AWS S3 бакета Safe{Wallet}. Код исполь­зовал­ся для перенап­равле­ния акти­вов Bybit на кон­тро­лиру­емый зло­умыш­ленни­ками кошелек и был изме­нен за два дня до ата­ки. При этом про­веден­ное пос­ле инци­ден­та иссле­дова­ние инфраструк­туры бир­жи не выяви­ло никаких приз­наков ком­про­мета­ции.

Пред­ста­вите­ли Safe Ecosystem Foundation уже под­твер­дили выводы ана­лити­ков, рас­ска­зав, что ата­ка была совер­шена через взлом машины одно­го из раз­работ­чиков Safe{Wallet}. Это поз­волило хакерам получить дос­туп к акка­унту, управля­емо­му Bybit. Раз­работ­чики объ­ясня­ли:

Ана­лиз тар­гетиро­ван­ной ата­ки Lazarus показал, что ата­ка на Bybit Safe была совер­шена через взло­ман­ную машину раз­работ­чика Safe{Wallet}, в резуль­тате чего была реали­зова­на замас­кирован­ная вре­донос­ная тран­закция.

Ко­ман­да Safe{Wallet} завери­ла, что пос­ле инци­ден­та вся инфраструк­тура пол­ностью перес­тро­ена и перекон­фигури­рова­на, а все учет­ные дан­ные изме­нены, что­бы гаран­тировать, что этот век­тор ата­ки лик­видиро­ван и не будет исполь­зовать­ся в новых кам­пани­ях.

Последствия

Вско­ре пос­ле взло­ма пред­ста­вите­ли Bybit объ­яви­ли, что запус­кают прог­рамму воз­награж­дений, которая приз­вана помочь вер­нуть укра­ден­ные средс­тва и вычис­лить хакеров, сто­явших за ата­кой. Bybit пообе­щала вып­латить 10% от воз­вра­щен­ных средств (до 140 мил­лионов дол­ларов США) ИБ‑экспер­там, которые «сыг­рают активную роль в воз­вра­щении укра­ден­ных крип­товалют».

Увы, эти меры не осо­бо помог­ли. Хотя Bybit в сот­рудни­чес­тве с дру­гими бир­жами и пра­воох­ранитель­ными орга­нами уда­лось заморо­зить часть средств, которые пытались отмыть хакеры, по сос­тоянию на апрель 2025 года око­ло 27,6% укра­ден­ных денег по‑преж­нему оста­вались неот­сле­жива­емы­ми.

От­метим, что до взло­ма Bybit круп­ней­шим крип­товалют­ным ограбле­нием в исто­рии счи­талась ата­ка на Axie Infinity и сай­дчейн Ronin, про­изо­шед­шая в мар­те 2022 года. Тог­да хакеры похити­ли более 600 мил­лионов дол­ларов с помощью все­го двух тран­закций: 173 600 ETH (на сум­му око­ло 591 242 019 дол­ларов по кур­су на момент ата­ки) и стей­блко­ин USDC (на сум­му 25,5 мил­лиона дол­ларов по кур­су на момент ата­ки).