Минулої п’ятниці світ криптовалют пережив справжній шок

Після того, як SEC зняла позов проти Coinbase, індустрія знову стикнулася з жахом, що переслідував її протягом усієї історії. Bybit, друга за величиною біржа у світі за кількістю транзакцій та з понад 40 мільйонами користувачів, зазнала атаки. Компанія оголосила, що кіберзлочинці очистили її холодний гаманець ethereum, забравши близько 401 токена на суму понад 1.400 мільйонів доларів на той момент. Паніка охопила інвесторів, адже це стала найбільша крадіжка коштів в історії індустрії.

Що сталося?

Хакери атакували холодний гаманець ethereum, який є системою без підключення до Інтернету, що зберігає ключі доступу до криптовалют і вважається найнадійнішим. Це багатопідписне рішення, яке потребує кілька авторизацій для підтвердження транзакції. В п’ятницю керівництво компанії проводило рутинний процес переведення коштів з холодного гаманця до гарячого (гаманець, що зберігає ключі в мережі) з метою підвищення ліквідності платформи.

Генеральний директор платформи Бен Чжоу став останнім, хто підтвердив цю транзакцію, але не ту, яку він очікував. Зловмисники за допомогою складної системи створили фальшивий інтерфейс, який ідеально відтворював платформу управління гаманцями Bybit. Цей інтерфейс показував перевірені адреси та URL, що змусило авторизувати транзакції як легітимні. Коли підписанти схвалили транзакцію, хакери перенаправили кошти на невідомий гаманець.

Цей метод атаки був настільки ефективним, що системи безпеки Bybit зафіксували аномалії лише коли вже було занадто пізно. Це була надзвичайно складна версія фішингу — техніки, що зазвичай використовують хакери для обману користувачів шляхом підробки особи з метою крадіжки особистої інформації або доступу до онлайн-акаунтів.

Невдовзі після атаки дослідницька фірма Arkham Intelligence виявила, що кошти почали переміщатися на нові адреси та продаватися. Сьогодні співпраця між Bybit та іншими платформами призвела до блокування та заморожування майже 43 мільйонів доларів з викрадених коштів. Інші кошти намагаються відмити за допомогою різних технологій, включаючи «chain hopping», який передбачає трансформацію одного виду криптовалюти в інший і переміщення його через численні блокчейни: за підрахунками TRM Labs, у неділю вночі 160 мільйонів доларів були переправлені через незаконні канали.

Чому ethereum більш вразливий?

Мережа ethereum високо цінується в індустрії за безліч застосувань. Завдяки коду Solidity, в цій блокчейні можна створювати та розвивати програми та смарт-контракти. Але це також є точкою вразливості, яку хакери використовують, — говорить Хав'єр Пастор, директор з навчання Bit2Me.

Адольфо Контрерас, стратегічний радник Blockstream, пояснює, що проблема полягає в недоліках дизайну ethereum. Ця мережа використовує EVM, віртуальну машину, здатну виконувати широкий спектр інструкцій та виконувати смарт-контракти. Експерт вважає, що ця система є дуже складною і генерує занадто багато різних транзакцій, які не можуть бути «підтримані» апаратним гаманцем, маленьким пристроєм, що дозволяє захищати приватні ключі: тобто він не має достатньої потужності для інтерпретації величезної кількості транзакцій, які генерує EVM.

Наслідком є те, що коли підписується транзакція EVM, якщо вона є надто складною і гаманець не може її інтерпретувати, відбувається сліпе підписання. На екрані пристрою з’являється алфавітно-цифрова послідовність, і підписують, по суті, те, що з’являється, — пояснює він.

Що робить компанія?

О 16:51 у п’ятницю компанія повідомила в соцмережах про атаку. Лише через годину генеральний директор відповів на запитання користувачів та інвесторів через стрім, надаючи деталі атаки та оновлення. Він постійно запевняв, що інші гаманці безпечні й не постраждали: «Bybit є платоспроможним. Навіть якщо ця втрата не буде відшкодована, всі активи клієнтів підтримуються в співвідношенні 1:1, ми можемо покрити втрати», — додав він.

Невдовзі вони попросили сприяння від індустрії, пообіцявши пожертвувати 10% викрадених коштів тим, хто допоможе їм їх повернути. Інші біржі також активізувалися, блокуючи гаманець, використаний цими хакерами, та всі адреси, куди були відправлені частини викрадених коштів. “Будь-який рух зловмисника, яке прагне конвертувати викрадені криптовалюти в гроші, буде заблоковано біржею. Ці гаманці маркуються за допомогою програмного забезпечення, яке відстежує всі рухи хакера, дякуючи блокчейну,” — пояснює Крістіна Караскоса, CEO та засновник ATH21.

Сьогодні вранці Бен Чжоу оголосив, що Bybit відновив викрадені кошти і знову має достатньо активів для забезпечення 100% депозитів своїх клієнтів. Компанія повідомила, що відновила 446,87 одиниць ethereum, на суму понад 1.200 мільйонів доларів за поточними цінами, через кредити, депозити від великих інвесторів і прямі покупки токенів.

Хто стоїть за атакою?

Фірми-аналітики, такі як Arkham і TRM Labs, відстежують викрадені кошти: за їхніми дослідженнями, все вказує на групу Lazarus з Північної Кореї як на відповідальних за злам. “Атака слідувала їхньому відомому мануалу операцій, а хакери з Північної Кореї не приховують своїх слідів, оскільки діють поза межами сил правопорядку,” — відзначає Арі Редборд, глобальний директор з політики та урядових справ у TRM Labs.

За один лише день хакери з Північної Кореї майже подвоїли кількість вкрадених коштів за 2024 рік: минулого року вони стали відповідальними приблизно за 35% всіх викрадених коштів — близько 800 мільйонів доларів у криптовалютах, викрадених під час високоефективних операцій. Недавнє дослідження Chainalysis підвищує цю суму до 1.340 мільйонів доларів у 47 інцидентах минулого року.

Чи були подібні випадки?

За словами TRM Labs, атаки на гарячі гаманці і смарт-контракти є поширеними, але витоки в холодних гаманцях такого масштабу трапляються рідко. Однак були й інші схожі атаки. Контрерас відзначає, що цей останній злам нагадує злам Parity у 2017 році: тоді хакери скористалися вразливістю у смарт-контрактах програмного забезпечення, яке дозволяло управління багатопідписними гаманцями. Зловмисники взяли під контроль деякі гаманці та перенаправили кошти: їм вдалося вкрасти близько 150.000 одиниць ethereum, близько 30 мільйонів доларів на той момент.

Після цього останнього інциденту експерти вважають, що платформи виділятимуть більше бюджету на кіберзахист. Редборд зазначає, що швидкість, з якою зловмисники переміщують таку кількість грошей, була не уявною ще рік тому. “Масштаб і швидкість цієї операції з відмивання грошей свідчать про небезпечну еволюцію способів, якими спонсоровані державою хакери можуть експлуатувати екосистему криптовалют, використовуючи технології та надійні мережі відмивання грошей. Це вказує на нагальну необхідність співпраці між країнами в сфері правозастосування,” — додає він. Проте, визнано ефективну реакцію компанії на інцидент такого масштабу. “Йдеться про злом на 1.400 мільйонів, який не став проблемою навіть у ліквідності біржі. Якщо розглянути це, ми говоримо про величезну суму, а біржа змогла продовжувати працювати без цієї суми. Це безумовно стандарт, до якого прагнуть усі, хто працює в цьому секторі,” — завершує Караскоса.

Думаєте про інвестування у криптоактиви? Ось що вам потрібно знати.