Safe{Wallet} подтвердил, что криптоиндустрия стала жертвой масштабной атаки, спонсируемой государством Северной Кореи, в результате которой на бирже Bybit похищено $1.5 млрд. Расследованию инцидента руководит Google Cloud Mandiant.
Ключевой элемент атаки – скомпрометированный ноутбук разработчика, именуемый «Developer1», который обладал расширенными правами доступа. 4 февраля 2025 года разработчик загрузил Docker-проект «MC-Based-Stock-Invest-Simulator-main», а домен getstockprice[.]com, зарегистрированный на Namecheap за два дня до инцидента, свидетельствует о тщательной подготовке злоумышленников.
Группа злоумышленников с кодовым названием TraderTraitor, также известная под псевдонимами Jade Sleet, PUKCHONG и UNC4899, ранее использовала схожие методы, обманывая разработчиков через Telegram. Хотя остаётся неясно, применялась ли тема запуска следующего этапа вредоносного кода «PLOTTWIST», факты удаления вредоносных файлов и очистки истории Bash указывают на попытки сокрытия следов.
Атака предполагала перехват AWS-сессионных токенов для обхода многофакторной аутентификации, что позволило злоумышленникам действовать в соответствии с рабочим графиком разработчика. Доступ к AWS осуществлялся через ExpressVPN, а пользовательский агент «distribkali.2024» подтверждал использование инструментов Kali Linux, наряду с развёртыванием open-source фреймворка Mythic.
Для проведения детальной разведки инфраструктуры Safe{Wallet} на сайте компании был внедрён вредоносный JavaScript-код, активный в период с 19 по 21 февраля 2025 года. Это позволило атакующим оставаться незамеченными и проводить мониторинг системы.
Генеральный директор Bybit Ben Zhou сообщил, что 77% похищенных активов остаются отслеживаемыми, 20% сумели скрыться, и лишь 3% были заморожены. Совместные усилия 11 партнёров, в числе которых Mantle, Paraswap и ZachXBT, привели к тому, что около 83% средств, эквивалентных 417,348 ETH, были конвертированы в биткоины и распределены между 6,954 кошельками.
Платформа Immunefi зафиксировала, что в первые два месяца 2025 года проекты Web3 потеряли суммарно $1.6 млрд, что в 8 раз превышает убытки в $200 млн за аналогичный период прошлого года. «Недавняя атака подчеркивает эволюцию изощренности угроз и выявляет критические уязвимости безопасности в Web3», — отмечают эксперты.
Изображение носит иллюстративный характер
Ключевой элемент атаки – скомпрометированный ноутбук разработчика, именуемый «Developer1», который обладал расширенными правами доступа. 4 февраля 2025 года разработчик загрузил Docker-проект «MC-Based-Stock-Invest-Simulator-main», а домен getstockprice[.]com, зарегистрированный на Namecheap за два дня до инцидента, свидетельствует о тщательной подготовке злоумышленников.
Группа злоумышленников с кодовым названием TraderTraitor, также известная под псевдонимами Jade Sleet, PUKCHONG и UNC4899, ранее использовала схожие методы, обманывая разработчиков через Telegram. Хотя остаётся неясно, применялась ли тема запуска следующего этапа вредоносного кода «PLOTTWIST», факты удаления вредоносных файлов и очистки истории Bash указывают на попытки сокрытия следов.
Атака предполагала перехват AWS-сессионных токенов для обхода многофакторной аутентификации, что позволило злоумышленникам действовать в соответствии с рабочим графиком разработчика. Доступ к AWS осуществлялся через ExpressVPN, а пользовательский агент «distribkali.2024» подтверждал использование инструментов Kali Linux, наряду с развёртыванием open-source фреймворка Mythic.
Для проведения детальной разведки инфраструктуры Safe{Wallet} на сайте компании был внедрён вредоносный JavaScript-код, активный в период с 19 по 21 февраля 2025 года. Это позволило атакующим оставаться незамеченными и проводить мониторинг системы.
Генеральный директор Bybit Ben Zhou сообщил, что 77% похищенных активов остаются отслеживаемыми, 20% сумели скрыться, и лишь 3% были заморожены. Совместные усилия 11 партнёров, в числе которых Mantle, Paraswap и ZachXBT, привели к тому, что около 83% средств, эквивалентных 417,348 ETH, были конвертированы в биткоины и распределены между 6,954 кошельками.
Платформа Immunefi зафиксировала, что в первые два месяца 2025 года проекты Web3 потеряли суммарно $1.6 млрд, что в 8 раз превышает убытки в $200 млн за аналогичный период прошлого года. «Недавняя атака подчеркивает эволюцию изощренности угроз и выявляет критические уязвимости безопасности в Web3», — отмечают эксперты.
