Главное Авторские колонки Вакансии Вопросы
Выбор редакции:
😼
Выбор
редакции
AML Crypto AML Crypto 853 4 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Хакер взломал биржу Bybit и вывел крипто средства на $1,4 млрд

Крупнейший взлом Bybit. Вся правда, как хакеры вывели $1,4 млрд в Ethereum. AML Crypto проанализировало перетекание средств - все подробности, адреса мошенников и граф транзакций в нашей статье.
Мнение автора может не совпадать с мнением редакции

21 февраля 2025 года в 02:16:11 (UTC) криптовалютная биржа Bybit столкнулась с крупной хакерской атакой. Злоумышленники получили доступ к одному из холодных кошельков платформы и вывели 401 346 ETH, а также 113 375,548 синтетических ETH (в их числе 15 000 cmETH, 90 375 stETH, 8 000 mETH) и 90 USDT. На момент кражи общий эквивалент украденных средств превышал 1,4 миллиарда долларов США.


Итого, общая сумма похищенных средств составила 1,456,318,985 USD.

*согласно котировкам портала coinmarketcap.com на момент кражи

Компания AML Crypto в реальном времени отслеживает, как злоумышленники пытаются отмыть украденные активы.

Об атаке

Во время перевода средств сотрудниками ByBit из холодного кошелька на горячий злоумышленники использовали сложную атаку, которая замаскировала интерфейс подписи транзакции. Это привело к тому, что подписанты видели корректный адрес и доверенный URL, однако фактически подписывали транзакцию, изменяющую логику смарт-контракта кошелька.

После успешной манипуляции хакеры получили полный контроль над холодным кошельком Ethereum и перевели все средства на неизвестный адрес.

После взлома похищенные средства хакеры переместили токены на множество адресов.

Несмотря на атаку, Bybit заверяет, что остальные активы клиентов находятся в безопасности, а вывод средств работает в штатном режиме. Биржа продолжает расследование и предпринимает меры для предотвращения подобных атак в будущем.

Отмывание средств


Легенда: ⚫ - адреса-эксплойтеры (злоумышленник) 🟣 - [13 — горячий кошелек биржи Bybit], [23,24,25,26 — децентрализованные сервисы]

О графе:

Граф связей показывает движение средств от адреса биржи Bybit [13 — 0×1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4], который подвергся атаке, к адресам, на которых на момент написания статьи остаются средства.


События в реальном времени

21.02.2025 в 3:44 PM UTC Co-founder и CEO биржи Bybit Ben Zhou уже отреагировал на взлом биржи твитом:


Текст на скриншоте:

Где-то час назад мультиподписной холодный кошелек Bybit перевел средства на наш горячий кошелек. Однако, похоже, что эта конкретная транзакция была замаскирована — все подписанты видели поддельный интерфейс, который отображал правильный адрес, а URL-адрес принадлежал @safe.

Однако фактически подписанное сообщение изменило логику работы смарт-контракта нашего холодного ETH-кошелька. В результате хакер получил контроль над этим кошельком, а затем перевел все средства в неизвестный адрес.

Пожалуйста, будьте уверены, что все остальные холодные кошельки в безопасности. Все выводы средств работают в штатном режиме.

Я буду держать вас в курсе по мере поступления новой информации. Если какая-либо команда может помочь нам отследить украденные средства, будем благодарны.

Команда AML Crypto уже поставила на отслеживание все адреса злоумышленника и будет держать читателей в курсе событий.


Проверить адреса мошенников, которые осуществили данный взлом и получить подробную информацию об их активности и контрагентах вы можете самостоятельно в 2 клика с помощью нашего решения Btrace.

21.02.2025 в 5:15 PM UTC в прямом эфире выступил CEO ByBit Бен Чжо. Мы проанализировали его выступление и отметим ключевые тезисы далее:


Приветствие и введение: Бен Чжоу начал трансляцию с объяснения текущей ситуации и поблагодарил зрителей за участие. Он рассказал, что ByBit переживает очень сложный момент после взлома кошелька Ethereum. Инцидент произошел примерно два часа назад. Бен сообщил, что намерен использовать эфир для предоставления обновлений и ответов на вопросы сообщества.

Как произошел инцидент:

  • ByBit использует систему холодных кошельков и теплых кошельков для управления средствами. Когда баланс в горячем кошельке достигает определенной отметки, средства переводятся с холодного на теплый кошелек.
  • В процессе обычного перевода с холодного на теплый кошелек была проведена стандартная транзакция с использованием технологии multisig (мультиподпись) через сервис Safe. Это безопасная система с множеством подписантов, требующая подписи нескольких человек для завершения транзакции.
  • В момент подписания транзакции Бен, будучи последним подписантом, проверил правильность URL и адреса назначения на официальном сайте Safe. Он также использовал устройство Ledger для подписания транзакции.
  • Через 30 минут после подписания транзакции Бен получил экстренный звонок, что кошелек был «опустошен», то есть средства были украдены.

Подробности о хакерской атаке:

  • Хакеры сумели манипулировать интерфейсом подписания транзакции, возможно, взломав компьютеры всех подписантов или нарушив работу сервиса Safe. Хотя Бен уверен, что они использовали правильный URL и правильный адрес назначения, вероятно, злоумышленники изменили данные транзакции на уровне смарт-контракта.
  • Бен подчеркнул, что для Ethereum используются смарт-контракты, которые могут быть подвержены манипуляциям. Эта уязвимость, в частности, была использована для взлома Ethereum-кошелька ByBit.

Размер ущерба:

  • Примерно 400,000 ETH (что эквивалентно 1,4 миллиарда долларов) было украдено. Это касалось только Ethereum-кошелька, и это единственный кошелек, который был затронут.
  • По словам Бена, ни один другой актив, такой как Bitcoin или USDT, не был затронут этим инцидентом. Кошельки, использующие другие токены, не пострадали.
  • Несмотря на это, компания активно работает над устранением последствий инцидента и восстановлением утраченных средств.

Текущая ситуация с выводами средств:

  • ByBit продолжает обрабатывать запросы на вывод средств, но количество запросов значительно возросло за последние несколько часов, что привело к задержкам. В пиковый момент было зафиксировано более 4,000 запросов на вывод.
  • Компания пообещала, что все выводы средств будут обработаны, но некоторым клиентам нужно подождать, пока средства не будут переведены на цепочки.
  • Важно, что несмотря на высокую нагрузку, компания по-прежнему выплачивает средства, и в целом 70% запросов на вывод уже были обработаны.

Ответы на вопросы клиентов:

  • Бен гарантировал, что средства клиентов безопасны, так как ByBit придерживается принципа «1:1» по резервам. Все средства клиентов находятся в кошельках и могут быть выведены без риска для их средств.
  • Бен отметил, что несмотря на кражу средств с кошелька Ethereum, компания имеет достаточно резервов для покрытия убытков из своей казны, если потребуется.
  • На текущий момент выводы средств остаются открытыми, но для некоторых крупных запросов требуется дополнительная проверка со стороны команды безопасности.
  • Вопрос о возможной компенсации за украденные средства был рассмотрен: ByBit планирует обратиться к партнерам и использовать свой резервный фонд для покрытия потерь, если средства не удастся вернуть.

Обработка инцидента и меры безопасности:

  • ByBit сотрудничает с командой безопасности и правоохранительными органами, чтобы восстановить украденные средства и выяснить подробности взлома.
  • В данный момент идет расследование, и команда работает с внешними специалистами, чтобы отследить украденные средства и, возможно, вернуть их через централизованные биржи или другие каналы.
  • Бен сообщил, что команда безопасности ByBit внимательно проверяет все другие кошельки, чтобы убедиться, что нет других уязвимостей. На данный момент только Ethereum-кошелек был взломан.

Шаги, предпринимаемые для восстановления:

  • В ответ на проблему с ликвидностью Ethereum, ByBit договаривается с партнерами о предоставлении «bridge loan» (моста) — ссуды, которая поможет покрыть нехватку ликвидности и обеспечить возможность вывода средств.
  • Бен подчеркнул, что на данный момент компания не покупает Ethereum на рынке, а полагается на помощь партнёров для покрытия ликвидности.
  • В дополнение к этому, ByBit продолжает анализировать ситуацию с Safe и работает с их командой для выяснения всех подробностей инцидента.

Ответы на конкретные вопросы о восстановлении:

  • Клиенты спрашивали, когда будет возвращено Ethereum: компания ожидает поступление bridge loan, чтобы покрыть этот дефицит и возобновить нормальный вывод средств.
  • Проблемы с ликвидностью затронули только Ethereum-активы, и другие токены, такие как Bitcoin или USDT, не пострадали.
  • Для крупных институциональных клиентов ByBit также приоритетно обрабатывает выводы средств, но этим клиентам необходимо подождать из-за необходимости вручную проверять транзакции.

Заключение:

  • Несмотря на инцидент, Бен Чжоу выразил уверенность, что компания будет продолжать работать, и средства клиентов будут восстановлены. Он поблагодарил партнеров и клиентов за поддержку.
  • ByBit продолжает расследовать инцидент, и вскоре будет предоставлена дополнительная информация.
  • Компания планирует провести более тщательную проверку безопасности и улучшение процедур, чтобы предотвратить подобные инциденты в будущем.

Arkham Intelligence объявила о запуске программы вознаграждения для исследователей, целью которой было привлечение помощи в расследовании масштабного взлома криптобиржи Bybit. Размер награды составлял 50 000 ARKM (около $32 000).

ссылка: https://x.com/arkham/status/1892975780218409203

Спустя некоторое время аналитик ZachXBT представил свою версию произошедшего, предоставив им отчет, включающий:

  • Анализ тестовых транзакций и связанных кошельков.
  • Данные судебной экспертизы и временные метки.

Arkham Intelligence сочли доводы ZachXBT убедительными и доказанными, объявив его победителем программы вознаграждения. Предоставленная информация была передана команде Bybit для дальнейшего расследования.

Возможная причастность хакерской группировки Lazarus Group к атаке была отмечена как ключевой элемент расследования, однако окончательные выводы требуют дополнительной проверки.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Ермолаев Тимур
22 фев в 10:46
Какие методы анонимизации могли использовать хакеры при выводе средств с биржи Bybit, и возможно ли их отследить?
Ответить
0
AML Crypto
АМЛ проверки крипто адресов, блокчейн аналитика, крипто расследования.
Алексеев Никита
22 фев в 13:47
На данный момент злоумышленники используют только транзитные адреса.
Отследить их действия возможно, особенно учитывая масштаб инцидента. Наша компания в том числе занимается данным вопросом.
Ответить
0
Евгений Молдовану
25 фев в 12:02
А толку с отслеживания, выведут в монеро или что то подобное, ищи потом их в поле.
Ответить
0
AML Crypto
АМЛ проверки крипто адресов, блокчейн аналитика, крипто расследования.
Алексеев Никита
25 фев в 12:10
Не совсем так. Все комьюнити объединилось в данном инциденте. Происходит отслеживание средств, часть уже заблокировали и вернули.
Что бы вывести средства, например, в анонимные криптовалюты тоже нужны определенные сервисы, которые в результате AML проверки откажут мошенникам или заблокирует средства.

Следите за нашими новостями и вы сможете узнать итог данного взлома.
Ответить
0
Выбрать файл
Расскажите о себе!
Создайте блог своего проекта на Спарке и найдите новых пользователей и партнеров
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать
О проекте Проекты Реклама Связаться с редакцией
Редакция team@spark.ruТехническая поддержка help@spark.ruПродвижение adv@spark.ruТелефон +7 495 137-07-07
Учредитель сетевого издания Барабанова.Ю.Б., ИНН 500111143150
Редакционные материалы ООО «Редакция Спарк Ру»
Сообщения и материалы сетевого издания Spark (за исключением авторских колонок) (зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27 января 2025 года за номером ЭЛ №ФС77-89031 сопровождаются пометкой «Spark_news» или «Редакция Spark.ru», или «Spark».
Правовая информация Правила пользования сайтом Политика обработки персональных данных Правила рекомендательных технологий

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.