Платформа для отслеживания ончейн-данных Arkham Intelligence сообщила, что к взлому биржи Bybit на ~$1,5 млрд причастна северокорейская группировка Lazarus Group.
«Сегодня [21 февраля] в 19:09 UTC ончейн-аналитик ZachXBT предоставил неопровержимые доказательства причастности Lazarus Group к взлому Bybit. В его разборе содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед атакой, а также ряд графиков и временных меток. Эти данные переданы команде биржи для содействия расследованию», — отметили представители компании.
Сохраняйте спокойствие
В рамках специального лайвстрима CEO Bybit Бэн Чжоу сообщил, что биржа обсуждает с партнерами кредит в ETH. Площадка остается платежеспособной, средства необходимы для покрытия ликвидности в Ethereum на кризисный период.
Основатель Binance Чанпэн Чжао предложил главе Bybit помощь в устранениях последствий инцидента. Он также порекомендовал приостановить вывод средств в качестве меры предосторожности.
Руководитель отдела продуктов Coinbase Конор Гроган написал, что Binance и Bitget депонировали на холодные кошельки Bybit >50 000 ETH.
Согласно репортеру Колину Ву, от биржи MEXC на холодный кошелек Bybit поступило 12 652 stETH (около $33,75 млн).
Представители Bybit сообщили, что информация об инциденте «передана в соответствующие органы». Кроме того, сотрудничество с провайдерами ончейн-аналитики позволило выявить и изолировать связанные адреса, что ограничивает возможности злоумышленников «по выводу ETH через легальные рынки».
Глава Bitget Грейси Чен заявила, что несмотря на значительные потери, они эквивалентны годовой прибыли Bybit ($1,5 млрд). Она подчеркнула, что средства клиентов находятся в полной безопасности, поэтому поводов для паники нет.
Чен также уточнила, что переданные активы принадлежат самой Bitget, а не пользователям.
Чжоу заявил, что в течение примерно 10 часов после взлома биржа зафиксировала рекордное число заявок на вывод средств — более 350 000. Около 2100 запросов остаются в ожидании, при этом 99,994% операций уже завершены.
«Крупнейшее ограбление»
Гроган назвал взлом Bybit «крупнейшим ограблением в истории».
По его мнению, инцидент может актуализировать обсуждения хардфорков Ethereum.
Бывший CEO криптобиржи BitMEX Артур Хэйес отметил, что как инвестор с крупными запасами ETH, он поддержит решение сообщества в случае отката цепочки к более раннему состоянию — как после взлома The DAO в 2016 году.
Что дальше?
Согласно анализу соучредителя Taproot Wizards Эрика Уолла, северокорейские хакеры вероятно, конвертируют все токены ERC-20 в ETH, затем обменяют полученный эфир на BTC, а после постепенно переведут биткоины в юани через азиатские биржи. Эти средства могут пойти на финансирование ядерной и ракетной программ КНДР.
Подобные паттерны описаны в отчете Chainalysis за 2022 год.
«Этот процесс может занять годы. Они не торопятся», — отметил Уолл.
Эксперт также подчеркнул, что «вряд ли средства когда-либо будут возвращены, учитывая что это Lazarus Group».
ZachXBT сообщил, что Lazarus перебросила 5000 ETH на новый адрес и начала отмывать средства через централизованных миксер eXch, а затем перевела их в биткоин через Chainflip.
Глава Bybit Бен Чжоу выразил надежду, что кроссчейн-сервис поможет бирже заблокировать и предотвратить дальнейшие переводы активов на другие сети.
Согласно официальному заявлению Bybit, инцидент произошел при переводе ETH из холодного мультисиг-хранилища на горячий кошелек.
Злоумышленники подменили интерфейс подписания транзакции так, что все участники процедуры видели корректный адрес. При этом логика смарт-контракта была изменена, а хакеры получили контроль над ETH-кошельком и вывели все средства на неидентифицированный кошелек.
Напомним, по данным Chainalysis, ущерб от криптомошенничества в 2024 году составил как минимум $9,9 млрд.