21 февраля 2025 года хакер похитил криптовалюту на сумму более 1,46 млрд долларов с одного из холодных кошельков криптовалютной биржи Bybit.
Злоумышленники подменили интерфейс подписания транзакций холодного кошелька ETH, изменив логику смарт-контракта. В результате они получили контроль и перевели активы на неизвестный адрес.
Глава Coinbase Конор Гроган отметил, что взлом Bybit превзошёл даже ограбление Центрального банка Ирака ($1 млрд) и оказался в 10 раз масштабнее атаки на DAO в 2016 году.
В июне 2016 года Decentralized Autonomous Organization (DAO) была атакована через имеющуюся в смарт-контракте уязвимость. В результате мошенники получили контроль над 30% всех средств, имеющихся в распоряжении организации, было захвачено более 3,6 миллиона эфиров на сумму примерно 50 миллионов долларов. Это стало причиной краха проекта.
Компания Arkham заявила, что аналитик ZachXBT предоставил доказательства причастности хакерской группы Lazarus, связанной с Северной Кореей.
Генеральный директор Bybit Бен Чжоу пояснил, что хакеры подменили интерфейс подписания транзакций холодного кошелька ETH, изменив логику смарт-контракта. По словам Чжоу, остальные кошельки в безопасности, а вывод средств продолжается в штатном режиме.
Биржа заверила клиентов, что их средства не пострадали. Bybit располагает достаточными активами для покрытия убытков.
Некоторые предшествующие взломы криптобирж:
- Mt. Gox в 2014 году. Преступники похитили из горячих кошельков пользователей около 437 миллионов долларов в криптовалюте. После этой атаки Mt. Gox начала процедуру ликвидации.
- Bitfinex в 2016 году. Хакерам удалось похитить 119 756 биткоинов из аккаунтов некоторых пользователей криптобиржи. Украденные монеты на тот момент стоили 72 миллиона долларов.
- Coincheck в январе 2018 года. Хакеры похитили свыше 500 миллионов долларов в криптовалюте, а именно в монетах NEM.
- KuCoin в 2020 году. Ущерб составил 281 миллион долларов, почти все средства были возвращены клиентам.
Для взлома криптобирж хакеры используют следующие приемы:
- Фишинг. Злоумышленники рассылают владельцам криптовалюты письма, пытаясь побудить их поделиться конфиденциальными данными или загрузить на устройство вредоносную программу.
- Вредоносный код. В основе криптовалют и программных средств для работы с ними лежит специальный код, который может содержать уязвимости. Нащупав незащищённый участок криптоинфраструктуры, злоумышленники могут изменить такой код, чтобы взломать, например, блокчейн-мост.
- Кража ключа. Для доступа к криптовалюте пользователям нужны специальные ключи. Завладев ими, киберпреступники могут вывести все монеты из кошелька жертвы.
Также, как в случае с взломом криптобиржи Bybit 21 февраля 2025 года, злоумышленники могут подменить интерфейс, который подписанты видят перед подтверждением транзакций. На экране отображается правильный адрес получателя и привычный интерфейс системы безопасности сервиса, но на самом деле подпись не просто подтверждает перевод, а даёт хакерам полный контроль над кошельком.
Чтобы защитить свои цифровые активы, рекомендуется с осторожностью относиться к подозрительным письмам, не переходить по ссылкам и не вводить свои данные на незащищённых и потенциально опасных сайтах.