В феврале 2025 года около 12:30 UTC во время планового перевода средств с мультиподписного Ethereum-кошелька на горячий кошелек была проведена тщательно спланированная атака, благодаря которой злоумышленники получили контроль над холодным кошельком Bybit и перенесли свыше 400 000 ETH и stETH, стоимость которых оценивается более чем в $1,5 млрд.
При выполнении стандартной процедуры перевода использовался протокол Gnosis Safe, функция execTransaction оказалась подменена. Манипуляция заключалась в изменении логики смарт-контракта посредством скрытия истинного содержания подписного интерфейса, отображавшего корректный адрес, что позволило атакующему перенаправить средства на неизвестный адрес.
Bybit оперативно проинформировала пользователей на платформе X (бывший Twitter), заявив, что «все остальные холодные кошельки надежно защищены», а инцидент передан в соответствующие органы. Генеральный директор Ben Zhou заверил, что утечка ограничена только данным кошельком, несмотря на масштаб кражи.
Несколько ведущих аналитических агентств, включая Elliptic, Arkham Intelligence и TRM Labs, установили связь инцидента с киберпреступной группой Lazarus из Северной Кореи. Группа неоднократно фигурировала в предыдущих взломах, таких как атаки на Phemex, BingX и Poloniex, и получила признание как один из самых опытных операторов нелегальных операций с криптоактивами.
По сравнению с предыдущими крупными кражами, такими как инциденты с Ronin Network ($624 млн), Poly Network ($611 млн) и BNB Bridge ($586 млн), текущий случай стал крупнейшим за всю историю криптовалютных операций. Инцидент выявляет уязвимость мультиподписных холодных кошельков, если злоумышленникам удается обмануть подписантов, используя методы социальной инженерии и манипуляции пользовательским интерфейсом.
Дополнительные данные подтвердили, что атака была осуществлена во время рутинного перевода, что еще раз подчеркивает важность пересмотра стандартов безопасности в криптосфере. Тщательное изменение логики смарт-контракта позволило атакующим ненадолго обойти привычные механизмы проверки и контроля.
На фоне инцидента внимание вызвали обвинения в отмывании украденных средств через криптобиржу eXch. По утверждениям Dr. Tom Robinson, соучредителя и главного ученого Elliptic, «уже более $75 млн украденных средств отмыты через eXch, пытаясь скрыть следы... И это не первый случай – криптоактивы из предыдущих взломов, атрибутируемых Северной Кореей, также прошли через эту биржу». Представители eXch отрицают обвинения, заявляя, что обработанные активы составляют лишь незначительную часть и будут направлены на поддержку инициатив в области безопасности и приватности.
Обновленные сведения после публикации инцидента уточнили временные рамки атаки и подтвердили детали манипуляции смарт-контрактом, что подчеркивает растущую изощренность киберпреступников и необходимость усиления мер защиты в секторе криптовалют.
Изображение носит иллюстративный характер
При выполнении стандартной процедуры перевода использовался протокол Gnosis Safe, функция execTransaction оказалась подменена. Манипуляция заключалась в изменении логики смарт-контракта посредством скрытия истинного содержания подписного интерфейса, отображавшего корректный адрес, что позволило атакующему перенаправить средства на неизвестный адрес.
Bybit оперативно проинформировала пользователей на платформе X (бывший Twitter), заявив, что «все остальные холодные кошельки надежно защищены», а инцидент передан в соответствующие органы. Генеральный директор Ben Zhou заверил, что утечка ограничена только данным кошельком, несмотря на масштаб кражи.
Несколько ведущих аналитических агентств, включая Elliptic, Arkham Intelligence и TRM Labs, установили связь инцидента с киберпреступной группой Lazarus из Северной Кореи. Группа неоднократно фигурировала в предыдущих взломах, таких как атаки на Phemex, BingX и Poloniex, и получила признание как один из самых опытных операторов нелегальных операций с криптоактивами.
По сравнению с предыдущими крупными кражами, такими как инциденты с Ronin Network ($624 млн), Poly Network ($611 млн) и BNB Bridge ($586 млн), текущий случай стал крупнейшим за всю историю криптовалютных операций. Инцидент выявляет уязвимость мультиподписных холодных кошельков, если злоумышленникам удается обмануть подписантов, используя методы социальной инженерии и манипуляции пользовательским интерфейсом.
Дополнительные данные подтвердили, что атака была осуществлена во время рутинного перевода, что еще раз подчеркивает важность пересмотра стандартов безопасности в криптосфере. Тщательное изменение логики смарт-контракта позволило атакующим ненадолго обойти привычные механизмы проверки и контроля.
На фоне инцидента внимание вызвали обвинения в отмывании украденных средств через криптобиржу eXch. По утверждениям Dr. Tom Robinson, соучредителя и главного ученого Elliptic, «уже более $75 млн украденных средств отмыты через eXch, пытаясь скрыть следы... И это не первый случай – криптоактивы из предыдущих взломов, атрибутируемых Северной Кореей, также прошли через эту биржу». Представители eXch отрицают обвинения, заявляя, что обработанные активы составляют лишь незначительную часть и будут направлены на поддержку инициатив в области безопасности и приватности.
Обновленные сведения после публикации инцидента уточнили временные рамки атаки и подтвердили детали манипуляции смарт-контрактом, что подчеркивает растущую изощренность киберпреступников и необходимость усиления мер защиты в секторе криптовалют.
