Введение

Вечером 21 февраля 2025 года глобальная криптовалютная биржа Bybit пережила самую крупную в истории криптоиндустрии хакерскую атаку. Во время взлома из кошельков Bybit было выведено более 500 000 ETH, stETH и mETH, общий ущерб превысил 1,46 миллиарда долларов по текущим рыночным ценам. Украденные активы были быстро перемещены на неопознанные кошельки. Этот инцидент превзошел взлом Poly Network 2021 года, в результате которого было похищено 611 миллионов долларов, что сделало его самой значительной криптовалютной кражей.

Источник: https://www.ic3.gov/PSA/2025/PSA250226

Источник: https://x.com/benbybit/status/1894768736084885929

Основанная в 2018 году, Bybit является одной из крупнейших криптовалютных бирж в мире, с средним ежедневным объемом торгов свыше 36 миллиардов долларов. По данным CoinMarketCap, перед взломом Bybit удерживал примерно 16,2 миллиарда долларов активов, что означает, что украденный Ethereum составлял около 9% от его общего объема.

Аналитик по цепочке ЗаксБТ предоставил доказательства, указывающие на то, что взлом, скорее всего, был совершен группой хакеров, связанных с КНДР, группой Лазарь. Он получил вознаграждение в размере $30 000 за свое расследование уязвимости.

Источник: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Временная шкала инцидента

Взлом

Атакующие использовали поддельный пользовательский интерфейс (UI), чтобы проникнуть в компьютер сотрудника Safe (поставщика кошельков), специально нацелившись на фронт-энд системы Safe Bybit. Подражая легитимному пользовательскому интерфейсу, хакеры могли скомпрометировать холодный кошелек ETH Bybit мультиподписи. Хакеры скрытно изменяли содержимое транзакции во время того, что казалось нормальным процессом транзакции.

Поскольку подписанты считали, что они уполномочивают законную транзакцию, они не смогли обнаружить, что она была заменена злонамеренным контрактом. Это привело к несанкционированному переводу на сумму $1.46 миллиарда ETH на неизвестные адреса, контролируемые злоумышленниками.

Методы, процесс атаки и защита:

Движение средств и отмывание денег

Между 15:00 и 16:30 21 февраля 2025 года хакеры завершили большую часть переводов средств. После атаки в основном кошельке осталось всего около 3 миллионов долларов в виде ETH. Украденные ETH были разделены на 40 транзакций по 10 000 ETH каждая, в то время как stETH и mETH были распределены по нескольким различным кошелькам для затруднения следа за средствами. Позднее хакеры использовали децентрализованные биржи (DEXs), чтобы дополнительно фрагментировать и отмыть средства, стремясь стереть все следы.

Источник: https://www.lazarusbounty.com/en?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Влияние на рынок

Даже до того, как Bybit официально подтвердил взлом, цены как на BTC, так и на ETH начали падать. В течение нескольких часов после объявления биткоин упал на 3%, в то время как Ethereum упал на 7%.

В выходные дни ETH восстановился до $2,800 после выкупа, инициированного Bybit, но к понедельнику снова упал. Хакер теперь стал 14-м по величине держателем ETH, и такая концентрация средств может оказать давление на рыночный прогноз Ethereum.

Источник: https://x.com/Bybit_Official/status/1893585578706227545

Контроверза вокруг протоколов межцепочной связи

Группа Лазарь часто использует протоколы обмена междуцепочечного обмена, такие как THORChain, чтобы преобразовать украденные активы в Bitcoin. THORChain облегчает прямые обмены между различными блокчейнами, такие как ETH на BTC, без прохождения через централизованные биржи.

Согласно THORChain Explorer, объем протокола за 24 часа 5 марта достиг $93 миллиона. Разработчики протокола столкнулись с жесткой критикой за якобы облегчение незаконных сделок северокорейскими хакерами.

Источник: https://thorchain.net/dashboard

Что такое группа Лазарус?

Группа Лазарус - одна из наиболее активных и известных хакерских организаций в мире. Название "Лазарь" происходит от библейской фигуры, воскрешенной к жизни, символизируя упорство и возвращение.

Также известные как "Стражи", "Мир" или "Команда Whois", членство и внутренняя структура группы остаются в значительной степени неизвестными. Однако широко считается, что она действует под прямым контролем правительства КНДР. Изначально функционируя как киберпреступная банда, Лазарь с течением времени эволюционировал из-за масштаба и сложности своих атак. Теперь он считается группой продвинутой постоянной угрозы (APT).

Разные институты называют Лазаря различными именами:

• Министерство внутренней безопасности США называет его "Скрытая Кобра"
• Microsoft называет его «ZINC» или «Алмазный слякоть»

По словам бывшего северокорейского офицера разведки Ким Кук-сонга, группа известна внутри Северной Кореи как Офис связи 414.

Министерство юстиции США заявило, что Lazarus Group действует как продолжение северокорейского государства. Его деятельность выходит за рамки киберугроз и включает в себя усилия по обходу международных санкций и получению незаконных доходов. Осуществляя недорогие и высокоэффективные кибератаки, Северная Корея может развернуть небольшие группы хакеров, которые представляют серьезную угрозу для глобальных финансовых систем и критически важной инфраструктуры, особенно в Южной Корее и западных странах.

Источник: https://ru.wikipedia.org/wiki/Lazarus_Group

Организационная структура

Группа Лазарус в основном состоит из двух отделений:

1. BlueNorOff

Также известная как APT38, Stardust Chollima или BeagleBoyz, BlueNorOff фокусируется на финансовой киберпреступности, часто включая мошеннические транзакции SWIFT для незаконного перемещения средств. Группа нацелилась на финансовые учреждения различных стран, и украденные средства, предположительно, поддерживают программы ракет и ядерного оружия Северной Кореи.

Их самая печально известная операция произошла в 2016 году, когда им удалось почти украсть $1 миллиард через сеть SWIFT. Ошибка в одной из инструкций помешала Федеральному резервному банку Нью-Йорка завершить часть переводов. BlueNorOff использует тактики, такие как фишинг, задние двери, эксплойты и вредоносное ПО (например, DarkComet, WannaCry). Они также сотрудничают с другими киберпреступными группировками для расширения незаконных денежных потоков, увеличивая глобальные кибербезопасностные риски.

2. Andariel

Также известный как «Silent Chollima», «Dark Seoul», «Rifle» и «Wassonite», Andariel специализируется на кибератаках, нацеленных на Южную Корею, и известен своими тайными операциями. Согласно отчету 2020 года от армии США, группа состоит примерно из 1 600 членов, ответственных за кибер-разведку, оценку уязвимостей и картографирование инфраструктур вражеских сетей для подготовки к будущим атакам.

Помимо Южной Кореи, Андариэль также осуществляла атаки на правительственные агентства, критическую инфраструктуру и корпорации в других странах.

Источник: https://home.treasury.gov/news/press-releases/sm774

Прошлые операции

За годы существования группа Лазарь запустила ряд кибератак по всему миру. Начиная с ранних кампаний DDoS, таких как Операция Троя (2009) и Десять Дней Дождя (2011), они развились в более сложные операции, включающие:

• Стирание данных (например, операция Dark Seoul, 2013)
• Кража данных (например, взлом Sony Pictures, 2014)
• Финансовые ограбления (начиная с 2015 года)

С 2017 года группа активно нацелилась на сектор криптовалют, проводя атаки на:

• Такие биржи, как Bithumb, Youbit, Atomic Wallet и WazirX
• Мосты межцепочечного взаимодействия, такие как Horizon Bridge
• Игры на блокчейне, такие как Axie Infinity

Их кампании украли цифровые активы на миллиарды долларов.

В последние годы Лазарь продолжил расширяться на новые сектора, включая здравоохранение, кибербезопасность и азартные игры. Только в 2023 году группа вызвала примерно убытков на $300 миллионов, что составляет 17.6% от всех мировых убытков от хакерских атак.

Источник: https://x.com/Cointelegraph/status/1894180646584516772

Как платформы реагируют на хакерские атаки

Криптовалютные биржи обычно принимают всестороннюю стратегию безопасности, основанную на четырех ключевых принципах: предотвращение, обнаружение, реагирование на инциденты и восстановление.

1. Профилактические меры (превентивная защита)

• Улучшение архитектуры безопасности: Внедрение разделения холодного и горячего кошелька, хранение большинства активов в оффлайн-холодных кошельках и использование механизмов авторизации с множественной подписью (multi-sig).
• Строгий контроль доступа: ограничение доступа сотрудников к конфиденциальным данным и принятие модели безопасности Zero Trust для смягчения угроз со стороны внутренних сотрудников или скомпрометированных внутренних систем.
• Улучшение безопасности смарт-контрактов: Проведение тщательной проверки смарт-контрактов для предотвращения уязвимостей, таких как атаки повторного входа и переполнение целых чисел.
• Многофакторная аутентификация (MFA): Требуйте, чтобы все администраторы и пользователи включили 2FA (двухфакторную аутентификацию), чтобы снизить риск захвата учетной записи.
• Защита от DDoS: используйте сети доставки контента (CDN) и обратные прокси-серверы для защиты от распределенных атак отказа в обслуживании (DDoS), обеспечивая доступность платформы.

2. Определение в реальном времени (Идентификация быстрой угрозы)

• Мониторинг аномалий: Используйте искусственный интеллект и машинное обучение для обнаружения подозрительных шаблонов транзакций и выявления необычных выводов или крупных переводов.
• Анализ цепочки: Сотрудничайте с фирмами по блокчейн-аналитике, такими как Chainalysis и Elliptic, чтобы отслеживать адреса в черном списке и блокировать незаконные денежные потоки.
• Журналы аудита: Ведение всестороннего журнала всех чувствительных операций (например, выводы, изменения разрешений) и проведение аудитов в реальном времени.

Источник: demo.chainalysis.com

3. Протокол реагирования на инциденты (послеатаковые протоколы)

• Немедленная блокировка учетной записи: При обнаружении подозрительных выводов немедленно приостановите действие затронутых учетных записей и заблокируйте переводы средств, чтобы предотвратить дальнейшие потери.
• Уведомить Партнеров: Быстро оповестить другие биржи, фирмы по безопасности блокчейна и правоохранительные органы для отслеживания украденных активов.
• Устраните уязвимости: Быстро проанализируйте вектор атаки, запечатайте любые уязвимости и предотвратите их повторное возникновение.
• Прозрачное общение с пользователем: Незамедлительно публикуйте объявления, чтобы информировать пользователей о происшествии и шагах по устранению последствий.

4. Восстановление активов (смягчение убытков)

• Сотрудничество с правоохранительными органами: работа с международными агентствами, такими как ФБР, Интерпол и фирмами по трассировке блокчейнов, для восстановления украденных средств.
• Компенсация по страхованию: Некоторые платформы поддерживают полисы страхования от взлома для компенсации пострадавших пользователей.

• Фонды чрезвычайных ситуаций: Создание фондов чрезвычайных ситуаций, таких как SAFU (Secure Asset Fund for Users) от Gate.io, для защиты активов пользователей во время критических ситуаций.

  На 5 марта 2025 года резервный фонд Gate.io составлял 10,328 миллиарда долларов, подчеркивая его финансовую мощь и возможности защиты пользователей.

Источник: www.gate.io

Источник: https://www.gate.io/safu-user-assets-security-fund

Основой кибербезопасности платформы криптовалюты является принцип:

«Превенция в первую очередь, своевременное обнаружение, эффективный ответ и сильное восстановление».

Платформы могут максимизировать защиту активов пользователей, объединяя оптимизированную архитектуру безопасности, анализ on-chain и механизмы быстрого реагирования.

Как пользователи могут защитить свои Криптоактивы

Криптовалюты полностью цифровые, и после потери или кражи их восстановление традиционными способами (например, банками) обычно невозможно. Поэтому необходимо принимать строгие меры предосторожности. Ниже приведены основные стратегии защиты ваших криптоактивов:

1. Выберите безопасные методы хранения

Холодное хранение:

• Используйте аппаратные кошельки (например, Ledger, Trezor) или бумажные кошельки для хранения большинства активов в автономном режиме, вдали от интернет-атак.
• Примечание: Бережно обращайтесь с аппаратными кошельками, чтобы избежать физических повреждений или потерь. Всегда тщательно проверяйте транзакции перед подписанием — никогда не подтверждайте слепо.

Горячие кошельки:

• Используйте только для хранения небольших сумм, предназначенных для ежедневных транзакций. Избегайте хранения больших запасов.
• Выбирайте надежные кошельки (например, MetaMask, Trust Wallet) и регулярно обновляйте программное обеспечение.

Источник: https://metamask.io/

2. Защитите ваши приватные ключи и сид фразы

• Никогда не делитесь: ваш закрытый ключ или фраза восстановления - единственные учетные данные для доступа к вашим активам - никогда не делитесь ими ни с кем.
• Безопасное резервное копирование: Запишите свою сидфразу и храните ее в огнестойком, водонепроницаемом месте (например, в сейфе). Избегайте сохранения ее на устройствах, подключенных к интернету.
• Разделенное хранение: Рассмотрите разделение фразы-сида на части и хранение каждой из них в разных местах для повышения безопасности.

3. Безопасность учетной записи и биржи

• Включите двухфакторную аутентификацию (2FA): используйте приложения, такие как Google Authenticator, вместо 2FA на основе SMS, который уязвим для захвата учетной записи.
  Google Authenticator в магазине Play
• Надежные пароли: используйте пароль длиной не менее 12 символов, включающий заглавные, прописные буквы, цифры и символы. Регулярно меняйте пароли.
• Диверсификация хранения: Не храните все свои криптовалюты в одном кошельке или бирже.
• Выберите безопасные биржи: выбирайте платформы с функциями защиты от DDoS и хранения в холодном хранилище, и немедленно выводите крупные суммы на личные кошельки.
• Отключите ненужный доступ через API: предотвратите кражу через эксплойты API.
• Используйте ключи доступа: безопасная аутентификация с помощью подтверждения на основе устройства, а не паролей.

Источник: play.google.com

4. Предотвратить кибератаки

• Остерегайтесь фишинга: всегда дважды проверяйте URL-адреса веб-сайтов и избегайте нажатия на неизвестные электронные письма, текстовые сообщения или ссылки в социальных сетях.
• Выделенное устройство: рассмотрите возможность использования отдельного устройства исключительно для криптовалютных транзакций, чтобы избежать воздействия вредоносных программ или опасных веб-сайтов.
• Проверьте адреса для перевода: Перед отправкой средств проверьте адрес, чтобы избежать захвата буфера обмена.
  Источник: Kratikal о перехвате буфера обмена
• Избегайте общественного Wi-Fi: используйте VPN и избегайте совершения транзакций через незащищенные сети.

Источник: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Безопасность смарт-контрактов и DeFi

• Используйте только доверенные смарт-контракты: взаимодействуйте только с контрактами, проверенными известными фирмами безопасности.
  Лучшие блокчейн-аудиторы от AlchemyТест с небольшими суммами: начните с небольшой тестовой транзакции перед вложением значительных средств.
• Избегайте мошенничества с высоким доходом: будьте осторожны с DeFi, NFT или проектами по сельскому хозяйству, обещающими необычно высокие доходы.

Источник:https://www.alchemy.com/best/blockchain-auditing-companies

6. Стратегия безопасности на долгосрочную перспективу и планирование в чрезвычайных ситуациях

• Используйте мультиподписные кошельки: требуют множественного утверждения для авторизации транзакций — идеально подходят для управления ценными активами.
• Регулярные аудиты: Периодически проверяйте балансы активов и истории транзакций на предмет любых аномалий.
• Юридическое планирование и наследование: включите криптовалютные активы в свои документы по наследству или доверенности, чтобы избежать необратимых потерь из-за утерянных ключей.
• Оставайтесь незаметными: не выставляйте свое криптобогатство в социальных сетях или публичных форумах, чтобы избежать привлечения внимания хакеров.

Источник: coindesk.com

Заключение

Этот инцидент привел не только к значительным финансовым потерям для Bybit, но также вызвал более широкие опасения относительно доверия и безопасности в криптоиндустрии. Впереди биржи, команды проектов и пользователи должны уделять большее внимание надежным практикам безопасности. Основные области внимания должны включать управление приватными ключами, внедрение кошельков с мультиподписью и тщательные аудиты смарт-контрактов.

Поскольку киберугрозы становятся все более сложными, ожидается, что глобальные регулирующие органы введут более строгие требования к безопасности. Например, Финансовое действие по борьбе с отмыванием денег (FATF) продвигает новые предложения по борьбе с отмыванием денег, которые направлены на перекрестные цепочки для усиления контроля за децентрализованными платформами и многоцепными взаимодействиями. Параллельно такие организации, как SEC США и европейские регуляторы, могут усилить проверку стандартов безопасности обмена и выступить за более строгие меры соблюдения KYC и AML.

Для индивидуальных инвесторов защита цифровых активов требует проактивного подхода. Это включает выбор платформ с надежной репутацией в области безопасности, диверсификацию методов хранения активов и информирование о появляющихся рисках. Поскольку крипто-экосистема продолжает развиваться, безопасность должна оставаться основным приоритетом, чтобы обеспечить устойчивый рост и доверие пользователей.