Взлом Bybit был совершен Lazarus Group c использованием уязвимости Safe{Wallet}

В ходе расследования была точно установлена причастность к атаке на криптовалютную биржу Bybit хакеров из Lazarus Group, которые воспользовались уязвимостью Safe{Wallet}. К делу подключилось Федеральное бюро расследований США. 

Бэн Чжоу, генеральный директор Bybit, поделился официальными отчетами по результатам расследования атаки, которой криптобиржа подверглась 21 февраля 2025 года. Согласно выводам специалистов по кибербезопасности из Sygnia и Verichains, хакеры сумели скомпрометировать инфраструктуру Safe{Wallet}, внедрив вредоносный JavaScript-код в AWS S3-хранилище кошелька. Код активировался только при обнаружении контрактного адреса Bybit и незаметно подменял данные транзакции, изменяя получателя и логическую структуру транзакции при подписании. 

К расследованию подключены международные правоохранительные органы, включая ФБР, Интерпол, а также аналитические блокчейн-компании. В частности, представители ФБР подтвердили , что атаку осуществила хакерская группировка TraderTraitor, которую ассоциируют с Lazarus Group и властями Северной Кореи. 

Представители Safe{Wallet} заявили , что смарт-контракты кошелька не были скомпрометированы. По их данным, хакеры получили доступ к серверу, используя вредоносное ПО на компьютере одного из разработчиков проекта. Команда Safe{Wallet} оперативно устранила уязвимость и планирует опубликовать полноценный отчет по результатам расследования инцидента в ближайшее время. 

Заявление Safe{Wallet} раскритиковал Чанпэн Чжао, бывший глава Binance, обвинивший команду проекта в попытке «замолчать проблемы». На критику развернуто ответил Мартин Кеппельман, глава блокчейн-проекта Gnosis, команда которого занимается разработкой Safe{Wallet}. Кроме того, он анонсировал внедрение новых мер безопасности, которые уже находятся в разработке.  

Специалисты Nansen проанализировали движения украденных средств. По их данным, хакеры разбили основную сумму на 42 крупных кошелька и далее на тысячи небольших. После этого они начали отмывать средства, используя децентрализованные биржи, кроссчейн-мосты и криптовалютные миксеры. Всего, согласно данным официальных отчетов Bybit, по состоянию на конец февраля 2025 года, активы стоимостью ~$335 млн уже отмыты, а ~$900 млн остаются на кошельках хакеров. 

Напомним, 21 февраля 2025 года криптовалютная биржа Bybit подверглась хакерской атаке, в результате которой злоумышленниками были похищены активы на сумму более $1,4 млрд. Взлом стал крупнейшим в истории криптовалютной индустрии.