21 февраля 2025 года хакеры атаковали криптобиржу Bybit и смогли похитить 70% Ethereum-активов (400 тысяч ETH), признал глава компании Бен Чжоу. За взломом криптобиржи Bybit на $1,4 млрд стоит Lazarus Group, считают эксперты по ИБ.
Сразу после взлома хакеры перевели средства по десяткам кошельков. Команда ByBit утверждает, что был скомпрометирован только один холодный кошелек, все остальные — в безопасности.
По словам Чжоу, сотрудники биржи совершали штатный перевод с «холодного» кошелька биржи на «теплый». Хакер взял под контроль кошелек благодаря подмене его интерфейса. Чжоу отметил, что остальные холодные кошельки биржи в безопасности и все операции происходят в штатном режиме. Чжоу попросил у сообщества помощи в поиске украденных средств.
Как развивались события по этому инциденту:
Первым на подозрительные транзакции обратил внимание криптодетектив ZachXBT — в 18:20 мск он зафиксировал перевод крупных сумм с кошельков Bybit. Позже CEO биржи Бен Чжоу подтвердил атаку и объяснил, что злоумышленники использовали сложный метод подмены транзакции, который позволил им получить полный контроль над активами.
В отличие от обычных взломов, где хакеры крадут пароли или взламывают серверы, в данном случае атака была направлена на процесс подтверждения транзакций внутри самой системы Bybit. На криптовалютных биржах крупные суммы обычно хранятся на мультиподписных кошельках — это значит, что для перевода средств нужно подтверждение сразу нескольких ответственных лиц, которые «подписывают» транзакцию с помощью своих ключей.
Хакеры сумели подменить интерфейс, который подписанты видели перед подтверждением. На экране отображался правильный адрес получателя и привычный интерфейс системы безопасности сервиса Safe (ранее Gnosis Safe), но на самом деле подпись не просто подтверждала перевод, а давала хакерам полный контроль над кошельком.
Как только злоумышленники получили контроль, они перевели средства на неустановленный адрес и начали распределять их по сети. По данным ончейн‑аналитиков, украденные активы уже начали перемещаться: более 20 кошельков получили переводы. Хакеры начали переводить украденные средства, включая обмен производных токенов на Ethereum и распределение активов по десяткам адресов, чтобы усложнить их отслеживание.
Сервисы мониторинга блокчейна уже маркируют эти кошельки как потенциально компрометированные, что позволяет криптобиржам отследить поступление украденных активов и при необходимости заморозить их.
Bybit заявила, что остальные холодные кошельки не пострадали, а вывод средств работает в обычном режиме. Биржа заверила, что активы клиентов полностью обеспечены один к одному, и, даже если вернуть украденные средства не удастся, убытки будут покрыты за счет платформы.
Источник: habr.com
Похожие новости:
1.4 миллиарда долларов: час назад Bybit сообщила о взломе. Это крупнейшая кража в истории криптовалют [UPD 3]
1.4 миллиарда долларов: час назад Bybit сообщила о взломе. Это крупнейшая кража в истории криптовалют [обновляется]
Обзор изменений в законодательстве за март 2024 года
Китайский художник создал игру для Game Boy в память о своей покойной бабушке