23 февраля 2025 BITKOGAN Коган Евгений
При этом не было:
◾️Взлома кода
◾️Утечки приватных ключей
◾️Традиционной атаки на смарт-контракт
➡️ Всё произошло из-за одобрения транзакции самими сотрудниками Bybit через их кошелёк с мультиподписью (multisig wallet). Но они не знали, что их действия приведут к хищению активов.
Хакеры, вероятно, работали по следующей схеме:
1️⃣Идентификация “мультиподписчиков” (signers). Злоумышленники точно знали, кто внутри компании отвечает за подтверждение транзакций.
➡️Вероятно, они получили доступ к конфиденциальной информации через:
▪️Внутреннюю утечку данных.
▪️Социальную инженерию (изучение поведения сотрудников, доступ к рабочей почте и мессенджерам).
▪️Вредоносное ПО на устройствах “мультиподписчиков”.
2️⃣Внедрение в инфраструктуру биржи.
Хакеры, похоже, получили доступ к внутренней инфраструктуре биржи. Это могло быть сделано через взлом устройств сотрудников компании с помощью всё того же фишинга и социальной инженерии (то есть, так же, как в предыдущем пункте).
➡️ Злоумышленники следили за поведением “мультиподписчиков” и ловили подходящий момент для инициации своей транзакции.
3️⃣Маскировка транзакции.
Визуально сотрудникам Bybit показывали привычный интерфейс с правильным адресом и суммами. Однако внутри транзакции был изменён смарт-контракт, который направил средства на кошельки хакеров.
4️⃣Одобрение транзакции.
Все подписчики утвердили перевод, считая его стандартной операцией. Если бы хоть один из них отказался подписать транзакцию, атака провалилась бы.
▫️Итого, мы видим типичную схему мошенничества, основанную на социальном инжиниринге, с помощью которого изначально "обработали" кого-то внутри компании. Из той же серии, что и многочисленные истории о том, как люди переписывают свои квартиры на мошенников, отправляют сбережения на счет “службы безопасности банка” и т.п. Хакеры Lazarus, безусловно, очень хорошо разбираются в блокчейн-технологиях и компьютерной безопасности, однако взлом оказался возможен исключительно потому, что в психологии они разбираются ничуть не хуже. Очень надёжная система защиты Bybit пала жертвой человеческого фактора.
◽️После взлома Lazarus перевели средства на 53 разных кошелька. Интересно, что эта группировка традиционно не спешит с “отмыванием” денег. Например, по данным Chainalysis они продолжают удерживать $55M “неотмытых” активов от взломов 6-летней давности. Прописка в Северной Корее гарантирует отсутствие выдачи. Более того, поведение хакеров и масштабы их атак позволяют предположить, что они и вовсе работают на государство.
➡️ В общем, вернуть украденные деньги в ближайшее время наверняка не получится.
✔️ Отдельно стоит отметить кризис-менеджмент Bybit. Несмотря на очень серьёзный удар по ликвидности и панику пользователей, бирже удалось обеспечить функционирование вывода средств (за 10 часов было подано более 350 тысячзаявок на вывод). CEO компании пытался быть максимально открытым и постоянно давал обновления о ситуации в своём X (СПБ Бирже есть у кого поучиться). Как ни странно, Bybit помогли и конкуренты, предоставившие заёмную ликвидность (причем многие сделали это на беспроцентной основе). Все понимают, что в подобной ситуации может оказаться любая биржа.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба