Експерти розкрили технічні деталі найбільшого в історії хакерського злому на $1,4 млрд

Криптовалютна біржа Bybit відчайдушно намагається повернути хоча б частину коштів, які зникли з її холодного гаманця під час найбільшого в історії хакерського злому. Після того, як 21 лютого північнокорейські хакери Lazarus Group вкрали у Bybit $1,46 млрд в криптовалюті ETH, біржа пообіцяла винагороду в розмірі 10% від викраденого за допомогу в поверненні коштів. Про це повідомляє The Register.

На сайті lazarusbounty.com стверджується, що Bybit вже виплатила понад $4 мільйони винагороди тим, хто допоміг у пошуках злочинців. Грошові винагороди чекають кожного, хто помітить і повідомить про транзакцію блокчейну або переказ, пов’язаний з вкраденою криптовалютою.

Тим часом експерти з кібербезпеки розповіли деталі наймасштабнішого в історії злому. 

Проблеми біржі почалися 21 лютого о 12:30 UTC, коли кошти, які мали бути переведені з офлайн-холодного гаманця Ethereum (ETH) на онлайн-гарячий, раптово були перенаправлені на адресу, контрольовану злочинцями.

«Трансакцією маніпулювали за допомогою складної атаки, яка змінила логіку смарт-контракту та замаскувала інтерфейс підпису, що дозволило зловмиснику отримати контроль над холодним гаманцем ETH. У результаті понад 400 000 ETH та stETH на суму понад 1,5 мільярда доларів було переведено на невстановлену адресу».

Відповідно до аналізу інциденту, проведеного службою криміналістичної безпеки Sygnia Labs і фінансовими розслідувачами Verichains, зловмисники змогли змінити код JavaScript SafeWallet, який використовується Bybit для управління своїми коштами. 

Вважається, що код було змінено шляхом зламу облікового запису AWS S3 або CloudFront, який використовується SafeWallet для розміщення свого програмного забезпечення. Згодом цей аналіз підтвердив сам виробник гаманця, який заявив, що одна з машин розробника була скомпрометована, що, ймовірно, призвело до підробки хмарного сховища.

«Судова експертиза цілеспрямованої атаки Lazarus Group на Bybit дійшла висновку, що ця атака, націлена на Bybit Safe, була здійснена через скомпрометовану машину розробника SafeWallet, що призвело до замаскованої зловмисної транзакції», — повідомили в SafeWallet.

Lazarus Group — це спонсорована державою північнокорейська хакерська група, яка добре відома складними атаками соціальної інженерії на облікові дані розробників, іноді в поєднанні з експлойтом нульового дня.

За даними охоронної фірми Elliptic, з 2017 року хакери Lazarus Group вкрали у криптокомпаній приблизно $6 мільярдів. За даними компанії з аналізу блокчейнів Chainalysis, у 2024 році північнокорейські хакери вкрали $1,34 мільярда під час 47 пограбувань криптовалют. У дослідженні Ради Безпеки ООН повідомляється, що ці вкрадені кошти, ймовірно, фінансують програму озброєнь Північної Кореї.