Кто украл 1,5 миллиарда долларов: группа, стоящая за крупнейшим взломом в истории криптовалют

Вчера была взломана одна из ведущих в мире платформ для обмена виртуальных валют Bybit, в результате чего были похищены цифровые активы на сумму, эквивалентную примерно 1,5 миллиардам долларов США. Это крупнейший взлом, зафиксированный в криптовалютной индустрии с момента создания биткоина в 2009 году. Эта цифра значительно превышает атаки на Poly Network в 2021 году и Ronin Bridge в 2022 году на сумму 600 миллионов долларов США, которые считаются крупнейшими на сегодняшний день. «Как сообщила сама биржа, известная своими объемами транзакций и большой клиентской базой, нарушение безопасности произошло в одном из ее холодных криптовалютных кошельков Ethereum. Однако в данном случае хакер воспользовался переводом средств с холодного кошелька на горячий, который был онлайн и уязвим, чтобы получить полный контроль над средствами в размере 401 000 Эфириумов. «Атака была проведена в течение нескольких часов». Как сообщает Bybit, приватные ключи, связанные с холодным кошельком платформы, были подделаны. Переведя средства на горячий кошелек, хакер смог быстро ликвидировать криптовалюты, что затруднило возврат украденных активов. «Генеральный директор биржи Бен Чжоу рассказал об инциденте в своем заявлении в социальных сетях, заверив, что средства клиентов не были скомпрометированы и что биржа продолжит работать в обычном режиме. По словам Чжоу, у компании достаточно капитала, чтобы покрыть убытки, даже если украденные средства не удастся вернуть. Это очень трудное время, как вы знаете, что такое общество. Я здесь, чтобы дать вам ответы на все вопросы», - начал Чжоу, находящийся в Сингапуре, в прямом эфире через два часа после взлома, за которым LA NACION следил в прямом эфире на сайте платформы и который продолжался час и 45 минут. «Мы регулярно переводили средства с холодного кошелька на горячий, обычно мы делаем это раз в две-три недели, в зависимости от баланса на горячем кошельке, каждый раз, когда активный кошелек достигает отметки, которую, по нашему мнению, необходимо пополнить», - сказал он, объясняя время взлома. »Он утверждал, что Bybit использует систему мультиподписи для кода кошелька, связанного с Эфириумом. Это не что иное, как инструмент безопасности, который требует нескольких подписей для авторизации криптовалютной транзакции. Чжоу был последней подписью. По его словам, он провел двойную проверку и не заметил ничего необычного. Наш холодный кошелек Эфириума был взломан. Причиной могли стать проблемы с пользовательским интерфейсом, которых может быть несколько, но я хочу заверить наших клиентов, что их деньги в безопасности«, - сказал он.»"Холодный кошелек Bybit ETH с несколькими подписями совершил перевод на наш горячий кошелек. Похоже, что эта конкретная транзакция была замаскирована, все подписавшиеся видели замаскированный пользовательский интерфейс, показывающий правильный адрес и URL от @secure. Однако смысл подписи заключался в изменении логики смарт-контракта нашего холодного кошелька ETH. Это привело к тому, что хакер получил контроль над конкретным подписанным нами холодным кошельком ETH и перевел все ETH в холодном кошельке на этот неизвестный адрес«, - утверждает он в сообщении на сайте X. „Платформа столкнулась с “банковским бегством». В настоящее время она обрабатывает в 100 раз больше запросов на вывод средств, чем обычно. «На данный момент мы не планируем отменять вывод средств», - подчеркнул Чжоу. Он добавил, что активы клиентов Bybit составляют 20 миллиардов долларов США. После этого события мы не отступаем назад. Некоторые клиенты спрашивают, пострадали ли их деньги, и ответ снова отрицательный», - сказал он. »Специалист по блокчейну Фернандо Молина проанализировал взлом в цифрах, чтобы представить его в перспективе. «Чтобы понять масштабы взлома Bybit: он в 2,4 раза больше того, что до этого было самым крупным взломом в истории», - сказал он. „В этом смысле он отметил, что он составит почти 14% от общего количества взломов в истории криптовалют и что цифровой кошелек, на котором хранятся деньги, является 14-м по величине держателем Эфириума на данный момент“. »Это был взлом, киберпреступление через вредоносный код (например, инъекция), через слой кошелька вне блокчейна. Безопасность самого блокчейна не была нарушена, но взлом произошел раньше», - сказал LA NACION Федерико Нано, генеральный директор и соучредитель финтех-компании B2FI (технологии, применяемые в финансовом мире). »Блокчейн безопасен, но все приложения, особенно финансовые, требуют механизмов контроля и аудита для снижения рисков мошенничества или атак при работе с деньгами третьих лиц. То, что произошло, похоже на то, что происходит при взломе счетов в других приложениях», - сказал Нано. Мануэль Бодройт, соучредитель и генеральный директор Belo, цифрового кошелька, позволяющего работать с аргентинскими песо и криптовалютами, сказал этой газете, что это один из видов взлома, при котором они смогли изменить интерфейс, и сравнил его со своего рода рыбалкой. «Мы живем в индустрии, где нужно быть предельно осторожными в своих действиях, иначе вы станете легкой добычей для хакеров. Количество взломов очень велико», - сказал он. „LEMON заявила, что следит за развитием событий в этом деле. “Первые расследования показывают, что взлом был осуществлен Lazarus Group, хакерским коллективом, связанным с правительством Северной Кореи. Известный блокчейн-аналитик ZachXBT представил убедительные доказательства этого, включая подробный анализ транзакций и связей между цифровыми кошельками, использованными в атаке. В то же время компания Arkham Intelligence, аналитическая платформа на основе блокчейна, использовала эту информацию для собственного анализа и подтвердила ее авторство. «Одна из главных характеристик этой группы - способность осуществлять масштабные атаки, включая сложные вредоносные программы и программы-вымогатели. Они часто используют специализированные инструменты для взлома сетей и систем своих целей и умеют использовать уязвимости в широко распространенном программном обеспечении, таком как операционные системы и приложения компаний, обеспечивающих безопасность. Они также специализируются на таких методах, как фишинг, для получения доступа к конфиденциальным системам. «Lazarus Group» была ответственна за некоторые из самых шокирующих атак в истории кибербезопасности, например, в 2016 году, когда им удалось похитить более 81 миллиона долларов США из Центрального банка Бангладеш через международную платежную систему SWIFT. «Первоначальная идея была более амбициозной: они хотели украсть 1 миллиард долларов США, и они были близки к успеху. Кража была частично остановлена благодаря ошибке в исполнении одного из поручений на перевод. Хакеры попытались отправить крупную сумму денег на счет в Шри-Ланке, но при этом допустили опечатку в названии одного из счетов. Это вызвало тревогу в системе мониторинга Федеральной резервной системы Нью-Йорка, что заставило банк заблокировать подозрительные транзакции. «В последние годы Lazarus Group сосредоточила свои усилия на краже криптовалюты, что позволило им получать крупные суммы денег относительно анонимно. В 2022 году группа была ответственна за взлом Ronin Bridge, децентрализованной финансовой платформы (DeFi), используемой в популярной игре Axie Infinity. В результате этой кражи было похищено более 600 миллионов долларов США в криптовалютах, что стало одной из крупнейших краж цифровых активов в истории. «Она также осуществляла другие взломы криптовалютных биржевых платформ, такие как взлом криптовалютной биржи Coincheck в 2018 году, в результате которого было похищено около 500 миллионов долларов США в криптовалюте NEM. »Lazarus Group работает как продолжение северокорейской киберразведки, Главного разведывательного бюро (RGB). Оно было сформировано в 2009 году после слияния нескольких существующих разведывательных организаций. В составе RGB Бюро 121 является основным подразделением, занимающимся кибервойнами, и известно тем, что проводит наступательные операции по кибершпионажу и киберпреступности. «В 2024 году ФБР и Агентство национальной безопасности США выпустили совместный совет, в котором рассказывалось о деятельности по кибершпионажу, связанной с RGB, с упором на получение секретной информации от оборонных, аэрокосмических, ядерных и инженерных организаций. «Кроме того, РГБ контролирует северокорейскую компанию Green Pine Associated Corporation, занимающуюся торговлей обычными вооружениями. «В пресс-релизе Министерства юстиции США от мая 2024 года сообщалось о том, как Северная Корея размещает квалифицированных сотрудников, в основном разработчиков программного обеспечения, в американских компаниях. «Северокорейцы используют украденные или заимствованные личности граждан США, чтобы выдавать себя за национальных работников, проникать в системы американских компаний и собирать доходы для Северной Кореи», - говорится в сообщении агентства. „По данным этого СМИ, МВФ выпустил как минимум четыре пресс-релиза, связывающих Lazarus Group со взломами“. »В докладе Совета Безопасности ООН, на который ссылается CoinDesk, подсчитано, что с 2017 по 2024 год северокорейцы похитили около 3 миллиардов долларов в криптовалютах. К этому следует добавить 1,5 млрд долларов США, полученных от взлома компании Bybit«. „Журналистка Анна Файфилд в своей книге “Великий наследник» рассказывает, что именно Ким Чен Ын, внук основателя диктаторской династии, в 2009 году, когда унаследовал бразды правления страной, решил, что режим может извлечь много пользы из киберпространства. «Учеников, проявляющих потенциальные способности к работе с компьютером, некоторым из которых было всего 11 лет, отправляют в специальные школы, а затем в Пхеньянский университет автоматики», где „в течение пяти лет их учат взламывать системы и создавать компьютерные вирусы“, - пишет Файфилд.»