В пятницу третья по величине криптобиржа Bybit стала жертвой хакерской атаки – злоумышленники вывели Ethereum на сумму почти $1,5 млрд. Буквально пару дней назад я писал о том, как в крипте сожгли $1.3 миллиона, чтобы передать сообщение, и это казалось большой суммой. $1.4 миллиарда не идут ни в какое сравнение, конечно.

В общем, час назад (16:44 CET) CEO Bybit Ben Zout сообщил о взломе холодного кошелька их биржи. В блокчейн-эксплорере можно увидеть транзакцию на $1.4 миллиарда долларов, которые были перемещены в пользу неизвестного, после чего были разосланы на десятки кошельков блоками по 10,000 ETH (22 миллиона долларов).

Ончейн-данные показывают, что хакер в течение последнего часа активно продаёт украденные средства.

"Все остальные холодные кошельки в безопасности. Все выводы работают в нормальном режиме", – заявил CEO Bybit Бен Чжоу.

Хакеру удалось получить доступ к холодному кошельку биржи, после чего средства были отправлены на неизвестный адрес.

"Холодный кошелек Bybit был скомпрометирован из-за мошеннической транзакции, которая обманом заставила подписантов одобрить вредоносное изменение логики смарт-контракта”, – пояснил Меир Долев, сооснователь и CTO компании CyVers.

Позже Чжоу заверил пользователей, что биржа остаётся платёжеспособной, несмотря на масштабные потери: "Все клиентские активы обеспечены в соотношении 1:1. Мы сможем покрыть убытки."

До сегодняшнего взлома крупнейшей хакерской атакой в истории криптоиндустрии считалась атака на Ronin Network 23 марта 2022 года, когда было похищено $600 млн.

Bybit пока не дала дополнительных комментариев.

"Это будет повторяться снова и снова" - Тейлор Монахан, ведущий специалист по безопасности криптокошелька MetaMask, предупреждает, что атака на Bybit повторяет сценарий множества предыдущих взломов. "Никто не готов к такому вектору атаки. Это будет случаться снова и снова," – заявила она в интервью DL News.

Монахан напомнила о похожих атаках на индийскую биржу WazirX, децентрализованную автономную организацию Radiant Capital и японскую биржу DMM Bitcoin.

• WazirX – взломана на $235 млн в июле 2024
• Radiant Capital – потеряла $50 млн в октябре 2024
• DMM Bitcoin – лишилась $308 млн в декабре 2024

Во всех случаях хакеры обходили защитные механизмы и подменяли интерфейс кошельков, делая их неотличимыми для владельцев.

"Вы не можете этого увидеть", – говорит Монахан. "Оно чертовски качественно подделывает фронтенд UI."UPD 1: Руководитель стратегии Flashbots Хасу написал в X, что по его мнению, что взлом не приведет к краху Bybit.

«Если вы хотите моего серьезного мнения, у Bybit гораздо больше $1,4 миллиарда дохода в год», — написал Хасу. «Они хороши для хранения денег и возместят всем клиентам потери. И это не имеет значения для Ethereum в целом, потому что Bybit выполнит обязательства перед клиентами по ETH и выкупит активы на открытом рынке».

Тем не менее, сумма, полученная в результате атаки - астрономическая, даже по стандартам криптовалюты.UPD 2. Дополняю новость комментариями других известных в крипте ребят:

Основатель и бывший CEO Binance Чанпэн Чжао (CZ) откликнулся на один из многочисленных постов CEO Bybit, в которых он делился информацией о взломе.

“Нелегкая ситуация. Возможно, стоит временно приостановить все выводы средств в качестве стандартной меры безопасности. Готов оказать любую необходимую помощь,” – написал CZ.

Тем временем аналитическая компания Arkham Intelligence объявила награду за поимку злоумышленника.

“Мы создали и профинансировали награду за помощь в установлении личности человека или организации, стоящих за сегодняшним взломом Bybit на сумму более $1 млрд,” – заявила компания в X. “Все полученные материалы будут переданы команде Bybit для поддержки их расследования. Вознаграждение: 50 000 ARKM.”

Сооснователь и CEO Titan (swap-платформы на Solana) отметил:

"Этот взлом показывает, насколько важен человеческий фактор при одобрении транзакций. Если пользователи не могут легко проверять предложенные транзакции в мультиподписном кошельке, они в итоге одобряют всё, что проходит." (мультиподписной - multisig, требует подписи от нескольких людей для совершения транзации)

В свою очередь, представитель CertiK, компании по аудиту цифровых активов (поддерживаемой Sequoia Capital, Tiger Global и Goldman Sachs), заявил: "С учетом масштабов взлома, этот инцидент вызывает серьезные вопросы о безопасности централизованных бирж и растущих киберугрозах в экосистеме web3."UPD 3: Сегодня в 19:09 UTC аналитик @zachxbt представил доказательства того, что за атакой на Bybit стоит группировка LAZARUS.

В его отчете содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед взломом, а также множественные графы взаимосвязей улик и анализ временных меток.

Эти данные были переданы команде Bybit для поддержки их расследования. Желаем им успехов в поимке виновных.

Источник