7 марта 2025 года компания Safe (Wallet) совместно с аналитиками платформы Mandiant представила предварительные результаты расследования взлома криптовалютной биржи Bybit.
Оглавление
Кто взломал криптобиржу ByBit?
Кражу почти 1,5 млрд долларов с биржи ByBit провела северокорейская группировка TraderTraitor (Трейдер Предатель). В индустрии ИБ эта группа часто упоминается под именами Lazarus Group, APT38, BlueNoroff. Она связана с правительством КНДР и ранее совершала кражи криптовалют.
В декабре 2024 года ФБР сообщало, что TraderTraitor стоит за атакой на японскую криптобиржу DMM Bitcoin и хищением криптовалюты на сумму 308 млн долларов США.
Как взламывали криптобиржу ByBit?
Эксперты отметили, что атака хакеров началась со взлома ноутбука MacBook одного из разработчиков Safe (Wallet), имеющего расширенные права доступа к инфраструктуре биржи. Получив с него AWS-токены сессии, злоумышленники смогли обойти многофакторную аутентификацию и получить доступ к инфраструктуре. Это и дало злоумышленникам возможность проникнуть в ключевые системы платформы.
Далее происходило примерно следующее:
- Злоумышленники получили доступ к мультиподписной холодной кошельковой системе Bybit.
- Воспользовались уязвимостями в пользовательском интерфейсе.
- Обманули подписантов мультиподписного кошелька, подписавших вредоносное содержимое в фальшивом интерфейсе.
- Захватили контроль над холодным кошельком.
- Подделали логику смарт-контракта, заставив подписантов видеть правильный адрес транзакции, в то время как фактическое подписанное содержимое переводило средства на адрес, контролируемый хакером.
Какова роль Safe (Wallet)?
Safe (Wallet) — это компания, которая разрабатывает криптокошелёк для безопасного управления цифровыми активами. Платформа позволяет пользователям сохранять полный контроль над криптовалютой, управлять собственными закрытыми ключами и совершать транзакции без необходимости доверять средства третьей стороне.
В ответ на инцидент Safe (Wallet) была проведена перезагрузка всей инфраструктуры, в том числе обновление серверов и ротация учётных данных. Временно была отключена поддержка аппаратных кошельков, чтобы минимизировать риски. Также клиентам предложили инструменты для дополнительной проверки хэшей криптотранзакций.
Каковы последствия для криптобиржи ByBit от взлома?
Хакеры вывели с холодного кошелька 70% Ethereum-активов биржи (400 тысяч ETH) на сумму 1,4 млрд долларов.
В течение примерно 10 часов после взлома биржа зафиксировала рекордное число заявок на вывод средств — более 350 000. CEO платформы обратился к партнёрам с просьбой выделить кредит в ETH — средства были необходимы для покрытия ликвидности на кризисный период.
Биржа заверила, что активы клиентов полностью обеспечены один к одному, и, даже если вернуть украденные средства не удастся, убытки будут покрыты за счёт платформы.