В пятницу, 21 февраля, официальный аккаунт криптобиржи Bybit сообщил о взломе одного из своих Ethereum-кошельков. Злоумышленникам удалось перевести хранившуюся там криптовалюту на неизвестный адрес. Чуть позже основатель Bybit Бен Чжоу рассказал, что общий ущерб от хакерской атаки — примерно 401 тысяча ETH. На момент взлома эта сумма равнялась примерно 1,4 миллиарда долларов. По словам экспертов, это не только крупнейшее похищение криптовалюты в истории, но и, вероятно, вообще самое крупное ограбление в принципе.

Представители биржи рассказали, что хакеры провели атаку во время перевода средств из так называемого холодного кошелька, защищенного мультиподписью. Злоумышленникам удалось подменить интерфейс подписания, в результате чего во время перевода отображался правильный адрес, но была нарушена логика смарт-контракта. Как объяснили сотрудники биржи, с помощью этих манипуляций хакеры получили доступ к «холодному кошельку» и вывели из него криптовалюту, после чего распределили ее по другим адресам.

Бен Чжоу подчеркнул, что в результате атаки был скомпрометирован только один кошелек биржи; все остальные находятся в безопасности (сколько их всего — не уточняется). Основатель Bybit также отметил, что произошедшее не повлияло на работу биржи и все операции проходят в обычном режиме. Но, несмотря на попытки успокоить пользователей, в первые 10 часов с момента сообщения о взломе Bybit столкнулась с массовым выводом криптовалюты. По словам Чжоу, биржа получила больше 350 тысяч заявок на вывод средств, и почти все они были обработаны.

На следующий день после ограбления пользователь с ником ZachXBT, который специализируется на расследованиях, связанных с криптовалютой, нашел доказательства, что за взломом Bybit стоят хакеры из северокорейской группировки Lazarus Group. В комментарии TechCrunch он заявил, что уверен в своих выводах на 100 процентов.

Благодаря тому, что все записи в блокчейне публичны, расследователь смог проследить движения похищенных средств до криптокошельков, которые уже использовали при взломе других бирж. Во всех случаях атаки были связаны с Северной Кореей. Всего ZachXBT обнаружил больше 900 адресов, связанных со взломом Bybit, а также замешанных в дальнейшем отмывании средств. Причастность Lazarus Group подтвердили и специалисты аналитической компании Elliptic.

Группировка Lazarus Group считается одной из самых успешных в КНДР. Она существует как минимум с 2009 года. За это время хакеры провели ряд серьезных атак, в том числе и в России. С 2019 года Lazarus Group находится в санкционных списках США, наряду еще с несколькими хакерскими командами, которые, по данным американских властей, напрямую связаны с властями Северной Кореи.

Эксперты NCC Group предполагают, что все атаки Lazarus Group санкционированы правительством КНДР, так как в стране нет свободного интернета и заниматься подобной деятельностью самостоятельно невозможно. Они также допускают, что основное компьютерное образование северокорейские хакеры получают в Китае.

Всего с 2017 года хакеры Lazarus Group украли криптовалюту на сумму более шести миллиардов долларов, утверждает Elliptic. В отчете ООН приводятся более скромные цифры: год назад ущерб от действий всех северокорейских группировок за последние шесть лет оценивался в три миллиарда долларов. По данным организации, эти средства идут на финансирование ядерной и ракетной программы Пхеньяна.

Издание Gizmodo отмечает, что хакеры из Северной Кореи активизировались после того, как в 2017 году на страну наложили жесткие санкции. Они стали ответом на ядерные и ракетные испытания, которые проводил Пхеньян, и практически полностью ограничили экспорт из КНДР.

Эксперты объясняют, что за годы существования Lazarus Group выработала узнаваемую схему атак.

По данным Elliptic, в первые два часа после взлома Bybit хакеры переправили украденные активы на 50 разных кошельков, в каждом из которых содержалось около 10 тысяч ETH. К 25 февраля 22% этих средств (около 270 миллионов долларов по курсу на тот момент) переместили дальше.

Одним из посредников, помогающих перемещать и обналичивать средства, эксперты называют биржу eXch. Она позволяет обменивать криптоактивы анонимно, чем и пользуются злоумышленники. Аналитики Elliptic утверждают, что с момента взлома северокорейская группировка обменяла с помощью eXch средства на сумму более 75 миллионов долларов. При этом биржа отказывается блокировать эти транзакции, несмотря на прямые запросы.

«Мы никогда не видели ничего настолько масштабного, — прокомментировал взлом Bybit сотрудник аналитической и расследовательской компании TRM Labs Ник Карлсен. — Способность этих незаконных финансовых сетей настолько быстро поглощать такие огромные суммы денег вызывает глубокое беспокойство». В прошлом Карлсен работал аналитиком в команде разведки ФБР и специализировался на Северной Корее. Его компания тоже связывает атаку на биржу с действиями хакеров из КНДР, но не уточняет, какая именно группировка ответственна за это.

Представитель Bybit Тони Ау в понедельник отказался комментировать возможную причастность Северной Кореи к взлому, отметив, что команда «в данный момент все еще ведет расследование». Но уже на следующий день основатель биржи Бен Чжоу призвал сообщество объединиться в борьбе с Lazarus Group. Биржа также пообещала выплатить 10% от суммы возвращенных средств тем, кто поможет отследить и заморозить украденные активы.

Основатель Bybit также поделился ссылкой на сайт, где можно следить за поиском похищенных средств. Судя по опубликованной там информации, пока бирже удалось заморозить чуть больше 42 миллионов долларов (чуть больше 3% от всей суммы). В этом им помогли несколько представителей криптосообщества, включая ZachXBT, а также сотрудники криптобиржи Binance. Сооснователь Elliptic Том Робинсон в комментарии CNN также сообщил, что еще 243 тысячи долларов были изъяты. «Капля в море, но это только начало», — отметил он. 

Подготовила: Нина Петрович