Как взломали Bybit

21 февраля произошла самая крупная кража криптовалют в истории. Хакеры из северо-корейской группировки Lazarus похитили 0.42% всего Ethereum в обращении — это больше, чем у Виталика Бутерина (создатель эфира) и фонда Fidelity, который управляет спотовым ETP на эфир (FETH). В момент кражи стоимость активов составляла примерно $1.4 млрд.

При этом не было:

• Взлома кода
• Утечки приватных ключей
• Традиционной атаки на смарт-контракт

Всё произошло из-за одобрения транзакции самими сотрудниками Bybit через их кошелёк с мультиподписью (multisig wallet). Но они не знали, что их действия приведут к хищению активов.

Хакеры, вероятно, работали по следующей схеме:

1.Идентификация “мультиподписчиков” (signers). Злоумышленники точно знали, кто внутри компании отвечает за подтверждение транзакций.

Вероятно, они получили доступ к конфиденциальной информации через:

• Внутреннюю утечку данных
• Социальную инженерию (изучение поведения сотрудников, доступ к рабочей почте и мессенджерам).
• Вредоносное ПО на устройствах “мультиподписчиков”.

2.Внедрение в инфраструктуру биржи.

Хакеры, похоже, получили доступ к внутренней инфраструктуре биржи. Это могло быть сделано через взлом устройств сотрудников компании с помощью всё того же фишинга и социальной инженерии (то есть, так же, как в предыдущем пункте).

Злоумышленники следили за поведением “мультиподписчиков” и ловили подходящий момент для инициации своей транзакции.

3.Маскировка транзакции.

Визуально сотрудникам Bybit показывали привычный интерфейс с правильным адресом и суммами. Однако внутри транзакции был изменён смарт-контракт, который направил средства на кошельки хакеров.

4.Одобрение транзакции.

Все подписчики утвердили перевод, считая его стандартной операцией. Если бы хоть один из них отказался подписать транзакцию, атака провалилась бы.

Итого, мы видим типичную схему мошенничества, основанную на социальном инжиниринге, с помощью которого изначально "обработали" кого-то внутри компании. Из той же серии, что и многочисленные истории о том, как люди переписывают свои квартиры на мошенников, отправляют сбережения на счет “службы безопасности банка” и т.п. Хакеры Lazarus, безусловно, очень хорошо разбираются в блокчейн-технологиях и компьютерной безопасности, однако взлом оказался возможен исключительно потому, что в психологии они разбираются ничуть не хуже. Очень надёжная система защиты Bybit пала жертвой человеческого фактора.

После взлома Lazarus перевели средства на 53 разных кошелька. Интересно, что эта группировка традиционно не спешит с “отмыванием” денег. Например, по данным Chainalysis они продолжают удерживать $55M “неотмытых” активов от взломов 6-летней давности. Прописка в Северной Корее гарантирует отсутствие выдачи. Более того, поведение хакеров и масштабы их атак позволяют предположить, что они и вовсе работают на государство.

В общем, вернуть украденные деньги в ближайшее время наверняка не получится.

Отдельно стоит отметить кризис-менеджмент Bybit. Несмотря на очень серьёзный удар по ликвидности и панику пользователей, бирже удалось обеспечить функционирование вывода средств (за 10 часов было подано более 350 тысяч заявок на вывод). CEO компании пытался быть максимально открытым и постоянно давал обновления о ситуации в своём X (СПБ Бирже есть у кого поучиться). Как ни странно, Bybit помогли и конкуренты, предоставившие заёмную ликвидность (причем многие сделали это на беспроцентной основе). Все понимают, что в подобной ситуации может оказаться любая биржа.

Источник