Севернокорейският хак на Bybit за $1.5 милиарда подплаши крипто света

Хакерите успяха да източат така наречения „студен“ портфейл за крипто - те се държат предимно изолирани от онлайн мрежите и се считат за почти неуязвими за атаки

21:00 | 1 март 2025

Автор: Bloomberg News

Снимка: Bloomberg

Докато новините за масивен хак на крипто борсата Bybit миналия петък започнаха да се разпространяват, изследователите на киберсигурността бързо заключиха, че ерата на гигантските кражби на цифрови активи е навлязла в нова и потенциално пагубна фаза.

Не беше само размерът на експлойта, въпреки че с близо 1,5 милиарда долара, той беше най-големият хак досега, и то с много. В рамките на часове стана известно, че атаката, която Федералното бюро за разследване на САЩ приписа на групата Lazarus от Северна Корея, е много по-амбициозна и трудна за предотвратяване от всички предшестващи я.

Може би най-обезпокоителното беше, че хакерите успяха да източат така наречения „студен“ портфейл за крипто съхранение, част от хардуера, използвана за държане на частния ключ, необходим за достъп до средства. Такива портфейли се държат предимно изолирани от онлайн мрежите и затова се считат за почти неуязвими за атаки.

Въздействието върху индустрията и зараждащите се регулации, които я управляват, са широкообхватни, според интервюта с повече от дузина ръководители и експерти по сигурността. Предотвратяването на севернокорейските кражби вероятно ще изисква много по-високи разходи от крипто борсите, по-строги регулации и засилена координация между правителствата, казаха те.

„Този хак разбива мита, че студените портфейли са непробиваеми“, каза Анджела Анг, старши изпълнителен директор в разузнавателната фирма за блокчейн TRM Labs. „Борсите трябва да преосмислят сигурността и да втвърдят своите защити.“

^{Как хакери от Северна Корея откраднаха 1,5 милиарда долара от Bybit}

Bybit, една от най-големите крипто борси, беше принудена да вземе заеми от други платформи и да използва собствените си финансови средства, за да замени около 515 000 токена, предимно етер, но също и производни на монетата, които бяха откраднати. Усилията ѝ да възстанови спокойствието не са спрели клиентите да изтеглят около 4 милиарда долара от платформата в рамките на два дни след атаката, според DefiLlama.

„Bybit успешно възстанови 77% от своите активи под управление (AUM) до нивата преди инцидента“, каза компанията в четвъртък.

Западните правителства обвиниха севернокорейската държава в насърчаване на редица хакерски групи, като се твърди, че икономически изолираната страна е използвала киберпрестъпления, за да привлече пари за финансиране на оръжейни програми. Хакерите, известни като Lazarus Group, една от най-страховитите групи, датират от 2007 г. и се контролират от отдела за кибер операции на една от основните разузнавателни агенции в страната, Reconnaissance General Bureau, според американски служители.

Кражбите на крипто от хакери, свързани със Северна Корея, се удвоиха миналата година до 1,34 милиарда долара, което представлява около 60% от общия брой откраднати средства, според изследователя Chainalysis. Хакването на Bybit означава, че кражбите, приписвани на режима, вече са надхвърлили тази сума през 2025 г.

„Тази атака показва, че дори сериозни и усърдни екипи — какъвто Bybit със сигурност е — се сблъскват с изключително взискателни среди; хищниците са буквално, а не преносно, агенти на национални държави“, каза в имейл Мичъл Амадор, главен изпълнителен директор на фирмата за крипто сигурност Immunefi. „Те имат безкрайно време, търпение и ресурси и трябва да спечелят само веднъж.“

^{Bybit е най-големият крипто хак досега}

Главният оперативен директор на Bybit Хелън Лиу току-що беше седнала на вечеря с родителите си в Дубай, където е базирана борсата, когато изпълнителният директор Бен Джоу се обади, за да ѝ каже за хака. Тя отиде в офиса и работи през цялата нощ, като в един момент жонглира с три различни обаждания едновременно.

„Поспах малко, след като се върнах у дома“, каза тя в интервю. „Но нашият главен изпълнителен директор, нашите инженери по портфейла, екипът, който проследява парите, те не спаха два или три дни.“

Токените, взети от Bybit, бяха държани в студен портфейл с множество подписи, което означава, че трима души с разрешения, включително Джоу, трябваше да подпишат преместването на средства. Студените портфейли с множество подписи отдавна се считат за безопасни и се използват широко сред крипто борсите, казаха изследователи.

Въпреки че разказите за това как точно се е развила атаката се различават донякъде, хакерите изглежда са започнали, като са се насочили към компютъра на служител в Safe Wallet, доставчик на крипто портфейл на Bybit. Компанията не отговори на искания за коментар.

„Това, което направиха хакерите, беше форма на засада“, каза Шахар Мадар, вицепрезидент по сигурността и доверието в доставчика на решения за попечителство Fireblocks. „Те се присламчиха към вече съществуващ поток.“

Хакове за социално инженерство

До известна степен възприеманата безопасност на портфейлите с множество подписи може да е дала на подписващите фалшиво чувство за сигурност, според Дан Хюз, който основа блокчейна Radix.

Атаката също така подчерта друга неудобна истина: въпреки всички твърдения на крипто, че е създала прозрачна екосистема, в която блокчейните си взаимодействат с помощта на автоматизирани софтуерни договори, това все още зависи от човешката преценка в критични моменти. И хората могат да бъдат измамени.

Севернокорейските хакери са станали особено умели в използването на тази уязвимост чрез така наречените атаки със социално инженерство в сектора, каза ФБР в съобщение от септември. При кражбата на Bybit подписалите получиха невярна информация, въведена от злонамерения код, което ги накара да повярват, че одобряват легитимна транзакция.

„Наистина не знам как борсите правилно ще могат да се защитят срещу това и да се уверят, че веригите от инструменти, които се използват, и хората, които са подписващи, не са компрометирани социално или физически“, каза Хюз.

Хакването поставя светлината на прожекторите върху потенциално екзистенциален проблем за индустрия, която отбеляза огромна победа, когато Доналд Тръмп се завърна в Белия дом през януари и постави крипто защитници на ключови позиции. Комисията по ценните книжа и борсите, която започна дългогодишна репресия под ръководството на бившия председател Гари Генслер, прекрати разследвания на няколко крипто компании през последните седмици.

Атака по сърцето на крипто

След години на преследване на предимно децентрализирани крипто проекти с по-ниски бариери за сигурност, севернокорейските хакери започнаха да засилват атаките срещу централизираните борси, поразявайки японския DMM Bitcoin и индийския WazirX през 2024 г. WazirX, в един момент най-голямата крипто борса в Индия, подаде молба за преструктуриране след хакването.

Централизираните борси са в сърцето на крипто екосистемата и често обработват общо стотици милиарди долари обем на търговия на ден. Въздействието на голям хак като този върху Bybit може да отекне далеч отвъд борсата и нейните клиенти. Етер, биткойн и други криптовалути се сринаха след новините за хакването, както и акциите на Coinbase Inc., най-голямата листвана борса.

Изправени пред все по-усъвършенствани хакери от национални държави, крипто борсите трябва да увеличат разходите за сигурност и също така да работят в по-тясно сътрудничество с правителствата, за да проследяват и възстановяват средства, преди престъпниците да ги преместят извън обсега, каза Анг от TRM Labs. Регулаторите вероятно ще преосмислят своите правила за това как борсите обработват активите на клиентите, каза тя.

Скоростта и уменията, с които хакерите се движеха, след като бяха вътре, допринесоха за безпокойството. Активите бяха източени от портфейла на Bybit в рамките на секунди след одобрението на транзакцията и след това изпрани чрез използване на децентрализирани борси и така наречените кръстосани верижни мостове, за да ги конвертират в други криптовалути.

^{Как хакерите преместват откраднати средства, за да скрият следите | След като открадна 1,5 милиарда долара в токени на Ethereum, Lazarus разпредели средствата в стотици портфейли}

Bybit казва, че около 43 милиона долара от откраднатата крипто е възстановена, или 3% от общата сума. Борсата стартира уебсайт, предлагащ награди за онези, които успеят да проследят и замразят откраднати токени. В изявление в сряда ФБР разпространи списък с блокчейн адреси, свързани с хакерите, и насърчи субектите в цялата криптосфера да блокират транзакции, свързани с тях.

„Самият мащаб и скорост на тази операция по пране показват, че крипто сигурността не е в крак с нападателите“, каза Анг. „Тази атака беше стрес тест за индустрията и едва премина.“