Анатомия крупнейшей криптокражи в истории: разбираем взлом Bybit на $1,5 млрд

21 февраля произошло беспрецедентное событие: сложная кибератака на биржу Bybit привела к похищению примерно $1,46 млрд в Ethereum (ETH) и связанных токенах. Этот инцидент стал крупнейшим цифровым ограблением в истории. Он также выявил уязвимости даже самых авторитетных платформ, а также вызвал потрясения на крипторынке. Теперь хакеры владеют большим количеством ETH, чем сам Виталик Бутерин или Ethereum Foundation. Кто эти киберпреступники, как им удалось провернуть эту аферу и какие будут у всего этого последствия?

Кибератака на Bybit: как это происходило

Хакерская атака на Bybit не была грубым нападением или простым использованием уязвимости смартконтракта. Вместо этого это была тщательно организованная операция с использованием социальной инженерии, манипуляции с интерфейсом пользователя (UI) и глубокого понимания операционных процессов внутри Bybit. Взлом произошел во время планового перевода средств из мультиподписного (multisig) холодного кошелька Ethereum Bybit — высокозащищенной, офлайн-системы хранения — в горячий (программный) кошелек, который обеспечивает ежедневные торговые операции.

1. Сначала злоумышленники получили доступ к системам подписантов холодного кошелька Bybit через фишинговые электронные письма или вредоносное программное обеспечение. Это первоначальное проникновение было направлено на использование человеческого фактора — в частности, на лиц, ответственных за подтверждение транзакций — а не на саму блокчейн-инфраструктуру.
2. Получив доступ, хакеры клонировали интерфейс подписания транзакций Bybit, создав поддельную версию, которая выглядела идентично настоящей. Когда подписанты проверяли перевод, они видели правильный адрес назначения и сумму, без подозрительных признаков. Но базовая логика смартконтракта была изменена.
3. Подписанты, обманутые поддельным интерфейсом, одобрили то, что они считали стандартной транзакцией. На самом деле они авторизовали операцию, которая переписала контракт кошелька, фактически передав контроль злоумышленникам. Это позволило хакерам исчерпать все содержимое холодного кошелька — 401 347 ETH, 90 376 stETH, 15 000 cmETH и 8 000 mETH — на неизвестный адрес.
4. Затем злоумышленники быстро начали заметать следы. Похищенный ETH был распределен между более 40 кошельками, по 10 000 ETH на адрес. Производные, такие как stETH и cmETH, были обменяны на ETH через децентрализованные биржи (DEX), такие как Uniswap и ParaSwap, а далее активы распределили на более мелкие части, чтобы усложнить отслеживание.

За последние четыре дня хакеры отмыли 100 000 ETH (на сумму около $250 млн), что составляет 18% от общего количества похищенных ETH (499 000). С остатком в 399 000 ETH, которые все еще находятся в кошельках, грабители Bybit владеют большим количеством ETH, чем сам Виталик Бутерин (250 000 ETH) или Ethereum Foundation (269 175 ETH).

Сейчас злоумышленники в основном используют сервис THORChain для обмена активов между различными цепочками на BTC, DAI и другие активы: сервис позволяет это делать напрямую между различными блокчейнами без посредников или использования завернутых токенов. Кроме того, участникам не требуется регистрация, поэтому все происходит анонимно.

След Лазарь Групп

Сразу несколько платформ, включая Arkham Intelligence и Elliptic, приписали атаку северокорейской хакерской группе Lazarus, известной громкими криптовалютными кражами. Этот вывод базируется на нескольких доказательствах:

1. Похожее поведение Исследователь ZachXBT, который получил вознаграждение от Arkham за свою работу, идентифицировал тестовые транзакции и кластеры кошельков, связанные с предыдущими операциями Lazarus, такими как хакерские атаки на Phemex и BingX. Первичный хакерский адрес (0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2) показал сходство в распределении средств и техниках отмывания.
2. Исторический прецедент. Группа Lazarus похитила более $6 млрд в криптовалюте с 2017 года, включая $1,34 млрд только в 2024 году. Их сценарий часто включает манипуляции с пользовательским интерфейсом, социальную инженерию и нацеливание на многоподписные кошельки — тактики, отраженные в атаке на Bybit.
3. Отмывание. Похищенный ETH начал проходить через DEX, кросчейн-мосты и централизованные биржи, такие как eXch, которая обработала более $75 млн из этих средств, несмотря на просьбу Bybit заблокировать их. Конвертация ETH в Bitcoin и потенциальное использование миксеров соответствуют схемам отмывания Lazarus.

В Arkham Intelligence также заметили, что хакеры Bybit делали 2-3 транзакции в минуту и останавливались каждые 45 минут на 15-минутный перерыв. ETH перемещали с одного адреса за раз, прежде чем перейти к следующему.

Если удастся подтвердить, что деньги перешли в КНДР, это сделает Северную Корею одним из крупнейших владельцев ETH в миреі. При этом поступления часто направляются на программу тестирования и запуска баллистических ракет, пишет Эллиптический.

СМИ пишутчто ФБР разыскивает северокорейского хакера Пак Джин Хёка, связанного с Lazarus Group и вирусом-шифровальщиком WannaCry. И он также причастен к краже средств Bybit и еще ряду киберпреступлений:

• $81 млн — Центробанк Бангладеш (2016)
• $625 млн — Axie Infinity (2022)
• $100 млн — Harmony Bridge (2022)
• $41 млн — Доля (2023)
• $1,5 млрд — (2025)

Влияние на крипторынок

Последствия атаки ощущаются повсюду, особенно в стоимости Ethereum и ликвидности Bybit.

• Цена Этера упала почти на 7% в течение нескольких часов после атаки, снизившись с примерно $2,8 тыс. до $2,6 тыс. Это произошло из-за опасений относительно потенциальной распродажи монет хакерами. Однако ETH восстановился до предыдущих значений в течение выходных, поскольку Bybit выкупила токены для пополнения резервов.
• Ликвидность на Bybit подверглась серьезному удару. Маркет-мейкеры массово выходили, а доля Bybit в мировой криптоликвидности уменьшилась вдвое — с 5% до 2,6%. Ежедневный объем торгов также упал до $1,4 млрд.
• Хакерская атака совпала с макроэкономической неопределенностью — беспокойством относительно роста экономики США и падением доходности 10-летних казначейских облигаций — что усилило сдвиг в сторону избегания рисков. В отличие от прошлых инцидентов, когда Bitcoin и Ethereum росли после хакерских атак из-за перетока средств в более безопасные активы, эта событие вызвало устойчивое давление вниз.

Бибит зализывает раны

К счастью, для владельцев аккаунтов на Bybit, вывод такого количества активов не привел к банкротству биржи (как это было в свое время с FTX). Руководство оперативно приняло меры по минимизации убытков:

• Генеральный директор Бен Чжоу обратился к своим подписчикам на платформе X в течение нескольких часов, и заверил, что биржа остается платежеспособной, с активами клиентов, подкрепленными 1:1, и что убытки могут быть покрыты через резервы или займы.
• К понедельнику, 24 февраля, Bybit привлек почти 447 000 ETH через экстренное финансирование от фирм, таких как Galaxy Digital, FalconX и Wintermute, плюс крупные депозиты. Данные CryptoQuant подтвердили, что после взлома резервы ETH в Bybit выросли до $874 млн (с $1,1 млрд). Но зато резервы BTC упали с $7 млрд до $4,7 млрд (-32%), а USDT — с $3,1 млрд до $1,6 млрд (-48%).

• Bybit предложила вознаграждение в размере 10% от похищенной суммы за возврат средств, и сотрудничает с правоохранительными органами и блокчейн-экспертами для отслеживания активов. Это поможет ограничить возможность хакеров сбрасывать ETH на легитимные рынки.

Несмотря на масштаб атаки, украденные средства составляют лишь 7,50% от $20 млрд активов под управлением Bybit.

Хакерская атака на Bybit 21 февраля это не просто рекордная кража: она еще раз напомнила, что человеческий фактор и социальная инженерия остаются самыми уязвимыми точками. Но она позволит проанализировать допущенные ошибки и не допустить подобного в будущем.