Новини про масивну хакерську атаку на криптобіржу Bybit минулої п’ятниці швидко поширилися, і дослідники з кібербезпеки одразу ж зробили висновок, що ера грандіозних крадіжок цифрових активів вступила в нову, потенційно руйнівну фазу.
Це була не тільки величина викрадення — близько 1.5 млрд доларів, що робить його найбільшим за всю історію. Вже через кілька годин стало зрозуміло, що атака, яку ФБР пов’язує з Північною Кореєю та групою Lazarus, є значно амбітнішою і складнішою для запобігання, ніж будь-яка з попередніх.
Найбільш тривожною є те, що хакери змогли вивести кошти з так званого «холодного» гаманця, відособленого обладнання, яке використовується для зберігання приватного ключа, необхідного для доступу до коштів. Такі гаманці переважно ізольовані від онлайн-мереж, і тому вважалися майже неприступними до атак.
Уплив на індустрію та новітнє регулювання фізично величезний, згідно з інтерв’ю з кількома експертами та керівниками. Запобігання північнокорейським крадіжкам, ймовірно, вимагатиме значно більших витрат від криптобірж, більш суворого регулювання та збільшення координації між урядами.
«Ця хакерська атака ламає міф про те, що холодні гаманці є непроникними», — зазначила Анджела Анг, старша керівниця компанії TRM Labs. «Біржі повинні переосмислити безпеку та зміцнити свої захисти».
Bybit, одна з найбільших криптобірж, була змушена позичити кошти у інших платформ і використати власні державні фонди для відшкодування близько 515,000 токенів, переважно Ether, які були вкрадені. Її зусилля з відновлення довіри не зупинили клієнтів від виведення приблизно 4 мільярдів доларів з платформи протягом двох днів після нападу.
Після атаки (10 годин тому) Bybit заявила, що отримала найбільшу кількість запитів на виведення, яких вони коли-небудь бачили; усього було більше 350 тисяч запитів, з яких близько 2100 залишилися на обробці. Загалом 99.994% виведень було завершено.
«Bybit успішно відновила 77% своїх активів під управлінням (AUM) до рівня до інциденту», — зазначила компанія в четвер.
Західні уряди звинувачують північнокорейську державу у підтримці ряду хакерських груп, використовуючи кіберзлочинність для фінансування програм озброєння. Хакери групи Lazarus, одна з найпотужніших, існують з 2007 року та підпорядковані кіберопераціям одного з основних розвідувальних агентств країни.
Крадіжки криптовалюти хакерами, пов’язаними з Північною Кореєю, минулого року подвоїлися до 1.34 млрд доларів, що становить близько 60% від загального обсягу, згідно з дослідником Chainalysis. Хак Bybit означає, що злочини, пов’язані з режимом, уже перевищили цю суму у 2025 році.
«Ця атака показує, що навіть серйозні та старанні команди — якими, безумовно, є Bybit — стикаються з надзвичайно складними умовами; хижаки — це буквально, а не фігурально, дії держави», — сказав Мітчел Амадор, генеральний директор компанії Immunefi. «У них є безкінечний час, терпіння й ресурси, і їм потрібно лише виграти раз».
Директор з операцій Bybit Хелен Лю тільки сіла вечеряти з батьками в Дубаї, де розташована біржа, коли генеральний директор Бен Чжоу подзвонив, щоб повідомити її про хак. Вона вирушила до офісу та працювала всю ніч, в один момент поєднуючи три різні дзвінки одночасно.
«Я трішки поспала після повернення додому», — сказала вона в інтерв’ю. «Але наш генеральний директор, наші інженери-гаманці, команда, яка відстежує гроші, не спали протягом двох або трьох днів».
Токени, взяті з Bybit, зберігалися в мультипідписному холодному гаманці, що означає, що трьом людям з повноваженнями, в тому числі Чжоу, потрібно було підписати будь-який рух коштів. Мультипідписні холодні гаманці вже давно вважаються безпечними та широко використовуються на криптобіржах.
Хоча свідчення про те, як саме сталася атака, дещо відрізняються, хакери, здається, почали з того, що націлилися на комп’ютер співробітника Safe Wallet, постачальника крипто-гаманців Bybit. Компанія не відповіла на запити про коментарі.
«Те, що зробили хакери, було формою нападу», — сказав Шахар Мадар, віце-президент з безпеки та довіри компанії Fireblocks. «Вони використовували вже існуючий потік».
Для деяких спостерігачів, відчутна безпека мультипідписних гаманців могла дати підписантам хибне відчуття безпеки, зазначив Дан Хьюз, засновник блокчейну Radix.
Атака також підкреслила ще одну неприємну істину: незважаючи на всі заяви крипто про те, що вони створили прозору екосистему, де блокчейни взаємодіють через автоматизовані програмні контракти, вона все ще залежить від людського судження на критичних етапах. І люди можуть бути обмануті.
Північнокорейські хакери стали особливо вмілими в використанні цієї уразливості через так звані атаки соціального інженерінгу, як зазначило ФБР у вересневому повідомленні. На хакі Bybit підписанти отримали помилкову інформацію, вставлену шкідливим кодом, що змусило їх повірити, що вони підтверджують легітимну транзакцію.
«Я справді не знаю, як біржі зможуть належним чином захиститися від цього і забезпечити, щоб інструментальні ланцюги, які використовуються, та люди, які перебувають на мультипідписах, не були скомпрометовані соціально чи фізично», — сказав Хьюз.
Ця атака ставить під сумнів можливу існуючу проблему для індустрії, яка отримала величезний успіх, коли Дональд Трамп повернувся до Білого дому у січні та поставив пропагандистів крипто на ключові посади. Комісія з цінних паперів та бірж, яка протягом багатьох років активно боролася за часи колишнього голови Гері Генслера, закрила розслідування кількох крипто-компаній за останні кілька тижнів.
Цілі у крипто-сфері
Після років переслідувань, переважно щодо децентралізованих крипто-проектів з нижчими бар’єрами безпеки, північнокорейські хакери почали посилювати атаки на централізовані біржі, завдавши удару по японській DMM Bitcoin та індійській WazirX у 2024 році. WazirX, у якийсь момент найбільша криптобіржа Індії, подала заявку на реструктуризацію після нападу.
Централізовані біржі знаходяться в серці крипто-екосистеми та часто обробляють сотні мільярдів доларів об’єму торгів щодня. Вплив великої хакерської атаки, такої як на Bybit, може докладно відзначити проблеми за межами самої біржі та її клієнтів. Ether, Bitcoin та інші криптовалюти впали на новинах про хак, так само, як і акції Coinbase Inc., найбільшої лістингової біржі.
Стикаючись із дедалі складнішими державними хакерами, криптобіржі повинні посилити витрати на безпеку і також більше співпрацювати з урядами для відстеження та повернення коштів, перш ніж злочинці виведуть їх з досяжності, зазначила Анг з TRM Labs. Регулятори, ймовірно, переглянуть свої правила щодо того, як біржі повинні обробляти активи клієнтів, додала вона.
Швидкість та вміння, з якими хакери діяли, потрапивши всередину, додали до незручності. Активи були виведені з гаманця Bybit протягом кількох секунд після затвердження транзакції та відмивалися за допомогою децентралізованих бірж та так званих крос-ланцюгових мостів для перетворення їх на інші криптовалюти.
Bybit стверджує, що приблизно $43 мільйони з вкрадених крипто-активів були відновлені, або 3% від загальної суми. Компанія запустила веб-сайт для мисливців за нагородами, пропонуючи винагороди тим, хто зможе відстежити та заморозити вкрадені токени. У заяві в середу, ФБР оприлюднило список адрес блокчейну, пов’язаних з хакерами, та закликало організації по всій крипто-сфері заблокувати транзакції, пов’язані з ними.
«Масштаб та швидкість цієї операції з відмивання грошей показують, що безпека крипто не встигає за нападниками», — зазначила Анг. «Ця атака стала стрес-тестом для індустрії, який вона ледве пройшла».
Залишити відповідь