Анатомія найбільшої криптокрадіжки в історії: розбираємо злом Bybit на $1,5 млрд

21 лютого сталась безпрецедентна подія: складна кібератака на біржу Bybit призвела до викрадення приблизно $1,46 млрд в Ethereum (ETH) та пов’язаних токенах. Цей інцидент став найбільшим цифровим пограбуванням в історії. Він також виявив вразливості навіть найавторитетніших платформ, а також спричинив потрясіння на крипторинку. Тепер хакери володіють більшою кількістю ETH, ніж сам Віталік Бутерін або Ethereum Foundation. Хто ці кіберзлочинці, як їм вдалось провернути цю аферу та які будуть в усього цього наслідки?

Кібератака на Bybit: як це відбувалося

Хакерська атака на Bybit не була грубим нападом чи простим використанням вразливості смартконтракту. Натомість це була ретельно організована операція з використанням соціальної інженерії, маніпуляції з інтерфейсом користувача (UI) та глибокого розуміння операційних процесів всередині Bybit. Злам відбувся під час планового переказу коштів із мультипідписного (multisig) холодного гаманця Ethereum Bybit — високозахищеної, офлайн-системи зберігання — до гарячого (програмного) гаманця, який забезпечує щоденні торгові операції.

1. Спочатку зловмисники отримали доступ до систем підписантів холодного гаманця Bybit через фішингові електронні листи або шкідливе програмне забезпечення. Це початкове проникнення було спрямоване на використання людського фактора — зокрема, на осіб, відповідальних за підтвердження транзакцій — а не на саму блокчейн-інфраструктуру.
2. Отримавши доступ, хакери клонували інтерфейс підписання транзакцій Bybit, створивши підроблену версію, яка виглядала ідентично справжній. Коли підписанти перевіряли переказ, вони бачили правильну адресу призначення та суму, без підозрілих ознак. Але базова логіка смартконтракту була змінена.
3. Підписанти, обмануті підробленим інтерфейсом, схвалили те, що вони вважали стандартною транзакцією. Насправді вони авторизували операцію, яка переписала контракт гаманця, фактично передавши контроль зловмисникам. Це дозволило хакерам вичерпати весь вміст холодного гаманця — 401 347 ETH, 90 376 stETH, 15 000 cmETH та 8 000 mETH — на невідому адресу.
4. Потім зловмисники швидко почали замітати сліди. Викрадений ETH був розподілений між понад 40 гаманцями, по 10 000 ETH на адресу. Похідні, такі як stETH і cmETH, були обміняні на ETH через децентралізовані біржі (DEX), такі як Uniswap і ParaSwap, а далі активи розподілили на дрібніші частини, щоб ускладнити відстеження.

За останні чотири дні хакери відмили 100 000 ETH (на суму близько $250 млн), що становить 18% від загальної кількості викрадених ETH (499 000). Із залишком у 399 000 ETH, які все ще знаходяться в гаманцях, грабіжники Bybit володіють більшою кількістю ETH, ніж сам Віталік Бутерін (250 000 ETH) або Ethereum Foundation (269 175 ETH).

Зараз зловмисники в основному використовують сервіс THORChain для обміну активів між різними ланцюжками на BTC, DAI та інші активи: сервіс дозволяє це робити безпосередньо між різними блокчейнами без посередників або використання загорнутих токенів. Крім того, учасники не потребують реєстрації, тому усе відбувається анонімно.

Слід Lazarus Group

Одразу кілька платформ, включно з Arkham Intelligence та Elliptic, приписали атаку північнокорейській хакерській групі Lazarus, відомій гучними криптовалютними крадіжками. Цей висновок базується на кількох доказах:

1. Схожа поведінка. Дослідник ZachXBT, який отримав винагороду від Arkham за свою роботу, ідентифікував тестові транзакції та кластери гаманців, пов’язані з попередніми операціями Lazarus, такими як хакерські атаки на Phemex та BingX. Первинна хакерська адреса (0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2) показала схожість у розподілі коштів та техніках відмивання.
2. Історичний прецедент. Група Lazarus викрала понад $6 млрд у криптовалюті з 2017 року, включно з $1,34 млрд лише у 2024 році. Їхній сценарій часто включає маніпуляції з інтерфейсом користувача, соціальну інженерію та націлювання на мультипідписні гаманці — тактики, віддзеркалені в атаці на Bybit.
3. Відмивання. Викрадений ETH почав проходити через DEX, кросчейн мости та централізовані біржі, такі як eXch, яка обробила понад $75 млн з цих коштів, попри прохання Bybit блокувати їх. Конвертація ETH в Bitcoin та потенційне використання міксерів відповідають схемам відмивання Lazarus.

В Arkham Intelligence також помітили, що хакери Bybit робили 2-3 транзакції на хвилину і зупинялись кожні 45 хвилин на 15-хвилинну перерву. ETH переміщували з однієї адреси за раз, перш ніж перейти до наступної.

Якщо вдасться підтвердиться, що гроші перейшли до КНДР, це зробить Північну Корею одним з найбільших власників ETH у світі. При цьому надходження часто спрямовуються на програму тестування та запуску балістичних ракет, пише Elliptic.

ЗМІ пишуть, що ФБР розшукує північнокорейського хакера Пак Джин Хьока, пов’язаного з Lazarus Group та вірусом-шифрувальником WannaCry. І він також причетний до крадіжки коштів Bybit та ще низки кіберзлочинів:

• $81 млн — Центробанк Бангладеш (2016)
• $625 млн — Axie Infinity (2022)
• $100 млн — Harmony Bridge (2022)
• $41 млн — Stake (2023)
• $1,5 млрд — (2025)

Вплив на крипторинок

Наслідки атаки відчуваються всюди, особливо у вартості Ethereum та ліквідності Bybit.

• Ціна Етера впала майже на 7% протягом кількох годин після атаки, знизившись з приблизно $2,8 тис.  до $2,6 тис. Це сталось через побоювання щодо потенційного розпродажу монет хакерами. Однак ETH відновився до попередніх значень протягом вихідних, оскільки Bybit викупила токени для поповнення резервів.
• Ліквідність на Bybit зазнала серйозного удару. Маркет-мейкери масово виходили, а частка Bybit у світовій криптоліквідності зменшилася вдвічі — з 5% до 2,6%. Щоденний обсяг торгів також впав до $1,4 млрд.
• Хакерська атака збіглася з макроекономічною невизначеністю — занепокоєнням щодо зростання економіки США та падінням дохідності 10-річних скарбничих облігацій — що посилило зрушення в бік уникнення ризиків. На відміну від минулих інцидентів, коли Bitcoin та Ethereum зростали після хакерських атак через перетік коштів в більш безпечні активи, ця подія спричинила стійкий тиск вниз.

Bybit зализує рани

На щастя для власників акаунтів на Bybit, виведення такої кількості активів не призвела до банкрутства біржі (як це було свого часу з FTX). Керівництво оперативно вжило заходів щодо мінімізації збитків:

• Генеральний директор Бен Чжоу звернувся до своїх підписників на платформі X протягом кількох годин, і запевнив, що біржа залишається платоспроможною, з активами клієнтів, підкріпленими 1:1, і що збитки можуть бути покриті через резерви або позики.
• До понеділка, 24 лютого, Bybit залучив майже 447 000 ETH через екстрене фінансування від фірм, таких як Galaxy Digital, FalconX та Wintermute, плюс великі депозити. Дані CryptoQuant підтвердили, що після злому резерви ETH у Bybit зросли до $874 млн (з $1,1 млрд). Але натомість резерви BTC впали з $7 млрд до $4,7 млрд (-32%), а USDT — з $3,1 млрд до $1,6 млрд (-48%).

• Bybit запропонувала винагороду у розмірі 10% від викраденої суми за повернення коштів, і співпрацює з правоохоронними органами та блокчейн-експертами для відстеження активів. Це допоможе обмежити можливість хакерів скидати ETH на легітимні ринки.

Попри масштаб атаки, вкрадені кошти становлять лише 7,50% від $20 млрд активів під управлінням Bybit.

Хакерська атака на Bybit 21 лютого це не просто рекордна крадіжка: вона ще раз нагадала, що людський фактор і соціальна інженерія залишаються найвразливішими точками. Але вона дозволить проаналізувати допущені помилки та не допустити подібного у майбутньому.