Хакер взломал биржу Bybit и вывел крипто средства более чем на $1,4 млрд

Получить консультацию экспертов AML Crypto
21 февраля 2025 года в 02:16:11 (PM UTC) криптовалютная биржа Bybit столкнулась с крупной хакерской атакой. Злоумышленники получили доступ к одному из холодных кошельков платформы и вывели 401 346 ETH, а также 113 375,548 синтетических ETH (в их числе 15 000 cmETH, 90 375 stETH, 8 000 mETH) и 90 USDT. На момент кражи общий эквивалент украденных средств превышал 1,4 миллиарда долларов США.
Итого, общая сумма похищенных средств составила 1,456,318,985 USD.
*согласно котировкам портала coinmarketcap.com на момент кражи

Компания AML Crypto в реальном времени отслеживает как злоумышленники пытаются отмыть украденные активы.
Об атаке
Во время перевода средств сотрудниками ByBit из холодного кошелька на горячий злоумышленники использовали сложную атаку, которая замаскировала интерфейс подписи транзакции. Это привело к тому, что подписанты видели корректный адрес и доверенный URL, однако фактически подписывали транзакцию, изменяющую логику смарт-контракта кошелька.

После успешной манипуляции хакеры получили полный контроль над холодным кошельком Ethereum и перевели все средства на неизвестный адрес.

После взлома похищенные средства хакеры переместили токены на множество адресов.
Несмотря на атаку, Bybit заверяет, что остальные активы клиентов находятся в безопасности, а вывод средств работает в штатном режиме. Биржа продолжает расследование и предпринимает меры для предотвращения подобных атак в будущем.
Отмывание средств

Легенда:

⚫ - адреса-эксплойтеры (злоумышленник)

🟣 - [13 - горячий кошелек биржи Bybit], [23,24,25,26 - децентрализованные сервисы]

О графе:

Граф связей показывает движение средств от адреса биржи Bybit [13 - 0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4], который подвергся атаке, к адресам, на которых на момент написания статьи остаются средства.
О графе:

Граф связей показывает движение средств от адреса биржи Bybit [13 - 0x1db92e2eebc8e0c075a02bea49a29­35bcd2dfcf4], который подвергся атаке, к адресам, на которых на момент написания статьи остаются средства.


События в реальном времени

21.02.2025 в 3:44 PM UTC Co-founder и CEO биржи Bybit Ben Zhou уже отреагировал на взлом биржи твитом:
Текст на скриншоте:
Где-то час назад мультиподписной холодный кошелек Bybit перевел средства на наш горячий кошелек. Однако, похоже, что эта конкретная транзакция была замаскирована — все подписанты видели поддельный интерфейс, который отображал правильный адрес, а URL-адрес принадлежал @safe.
Однако фактически подписанное сообщение изменило логику работы смарт-контракта нашего холодного ETH-кошелька. В результате хакер получил контроль над этим кошельком, а затем перевел все средства в неизвестный адрес.
Пожалуйста, будьте уверены, что все остальные холодные кошельки в безопасности. Все выводы средств работают в штатном режиме.
Я буду держать вас в курсе по мере поступления новой информации. Если какая-либо команда может помочь нам отследить украденные средства, будем благодарны.
Команда AML Crypto уже поставила на отслеживание все адреса злоумышленника и будет держать читателей в курсе событий.
Проверить адреса мошенников, которые осуществили данный взлом и получить подробную информацию об их активности и контрагентах вы можете самостоятельно в 2 клика с помощью нашего решения Btrace.
21.02.2025 в 5:15 PM UTC в прямом эфире выступил CEO ByBit Бен Чжо. Мы проанализировали его выступление и отметим ключевые тезисы далее:
Приветствие и введение: Бен Чжоу начал трансляцию с объяснения текущей ситуации и поблагодарил зрителей за участие. Он рассказал, что ByBit переживает очень сложный момент после взлома кошелька Ethereum. Инцидент произошел примерно два часа назад. Бен сообщил, что намерен использовать эфир для предоставления обновлений и ответов на вопросы сообщества.

Как произошел инцидент:
  • ByBit использует систему холодных кошельков и теплых кошельков для управления средствами. Когда баланс в горячем кошельке достигает определенной отметки, средства переводятся с холодного на теплый кошелек.
  • В процессе обычного перевода с холодного на теплый кошелек была проведена стандартная транзакция с использованием технологии multisig (мультиподпись) через сервис Safe. Это безопасная система с множеством подписантов, требующая подписи нескольких человек для завершения транзакции.
  • В момент подписания транзакции Бен, будучи последним подписантом, проверил правильность URL и адреса назначения на официальном сайте Safe. Он также использовал устройство Ledger для подписания транзакции.
  • Через 30 минут после подписания транзакции Бен получил экстренный звонок, что кошелек был "опустошен", то есть средства были украдены.
Подробности о хакерской атаке:
  • Хакеры сумели манипулировать интерфейсом подписания транзакции, возможно, взломав компьютеры всех подписантов или нарушив работу сервиса Safe. Хотя Бен уверен, что они использовали правильный URL и правильный адрес назначения, вероятно, злоумышленники изменили данные транзакции на уровне смарт-контракта.
  • Бен подчеркнул, что для Ethereum используются смарт-контракты, которые могут быть подвержены манипуляциям. Эта уязвимость, в частности, была использована для взлома Ethereum-кошелька ByBit.
Размер ущерба:
  • Примерно 401,000 ETH было украдено. Это касалось только Ethereum-кошелька, и это единственный кошелек, который был затронут.
  • По словам Бена, ни один другой актив, такой как Bitcoin или USDT, не был затронут этим инцидентом. Кошельки, использующие другие токены, не пострадали.
  • Несмотря на это, компания активно работает над устранением последствий инцидента и восстановлением утраченных средств.
Текущая ситуация с выводами средств:
  • ByBit продолжает обрабатывать запросы на вывод средств, но количество запросов значительно возросло за последние несколько часов, что привело к задержкам.
  • На текущий момент выводы средств остаются открытыми, но для некоторых крупных запросов требуется дополнительная проверка со стороны команды безопасности.
  • Важно, что несмотря на высокую нагрузку, компания по-прежнему выплачивает средства, и в целом 70% запросов на вывод уже были обработаны.
Ответы на вопросы клиентов:
  • Бен гарантировал, что средства клиентов в безопасности, так как ByBit придерживается принципа "1:1" по резервам.
  • Бен отметил, что несмотря на кражу средств с кошелька Ethereum, компания имеет достаточно резервов для покрытия убытков из своей казны, если потребуется.
  • Вопрос о возможной компенсации украденных средств: ByBit планирует обратиться к партнерам и использовать свой резервный фонд для покрытия потерь, если средства не удастся вернуть.
Обработка инцидента и меры безопасности:
  • ByBit сотрудничает с командой безопасности и правоохранительными органами, чтобы восстановить украденные средства и выяснить подробности взлома.
  • В данный момент идет расследование, и команда работает с внешними специалистами, чтобы отследить украденные средства и, возможно, вернуть их через централизованные биржи или другие каналы.
  • Бен сообщил, что команда безопасности ByBit внимательно проверяет все другие кошельки, чтобы убедиться, что нет других уязвимостей. На данный момент только Ethereum-кошелек был взломан.
Шаги, предпринимаемые для восстановления:
  • В ответ на проблему с ликвидностью Ethereum, ByBit договаривается с партнерами о предоставлении "bridge loan" (моста) — ссуды, которая поможет покрыть нехватку ликвидности и обеспечить возможность вывода средств.
  • Бен подчеркнул, что на данный момент компания не покупает Ethereum на рынке, а полагается на помощь партнёров для покрытия ликвидности.
  • В дополнение к этому, ByBit продолжает анализировать ситуацию с Safe и работает с их командой для выяснения всех подробностей инцидента.
Ответы на конкретные вопросы о восстановлении:
  • Компания ожидает поступление bridge loan, чтобы покрыть этот дефицит и возобновить нормальный вывод средств.
  • Проблемы с ликвидностью затронули только Ethereum-активы, и другие токены, такие как Bitcoin или USDT, не пострадали.
  • Для крупных институциональных клиентов ByBit также приоритетно обрабатывает выводы средств, но этим клиентам необходимо подождать из-за необходимости вручную проверять транзакции.
Заключение:
  • Несмотря на инцидент, Бен Чжоу выразил уверенность, что компания будет продолжать работать, и средства клиентов будут восстановлены. Он поблагодарил партнеров и клиентов за поддержку.
  • ByBit продолжает расследовать инцидент, и вскоре будет предоставлена дополнительная информация.
  • Компания планирует провести более тщательную проверку безопасности и улучшение процедур, чтобы предотвратить подобные инциденты в будущем.
Arkham Intelligence объявила о запуске программы вознаграждения для исследователей, целью которой было привлечение помощи в расследовании масштабного взлома криптобиржи Bybit. Размер награды составлял 50 000 ARKM (около $32 000).
ссылка: https://x.com/arkham/status/18929757­80218409203

Спустя некоторое время аналитик ZachXBT представил свою версию произошедшего, предоставив им отчет, включающий:
  • Анализ тестовых транзакций и связанных кошельков.
  • Данные судебной экспертизы и временные метки.

Arkham Intelligence сочли доводы ZachXBT убедительными и доказанными, объявив его победителем программы вознаграждения. Предоставленная информация была передана команде Bybit для дальнейшего расследования.

Возможная причастность хакерской группировки Lazarus Group к атаке была отмечена как ключевой элемент расследования, однако окончательные выводы требуют дополнительной проверки.
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Проверьте блокчейн-адрес с помощью Btrace
За секунды определите уровень риска адреса контрагента, узнайте источник его средств и примите взвешенное решение о взаимодействии с ним.

ПРЕДОТВРАТИте БЛОКИРОВКУ СРЕДСТВ

ОГРАДИте себя от мошенников

избегите проблем с законом

Смотрите также