Платформа для отслеживания ончейн-данных Arkham Intelligence сообщила, что к взлому биржи Bybit на ~$1,5 млрд причастна северокорейская группировка Lazarus Group.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBTAt 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5— Arkham (@arkham) February 21, 2025
«Сегодня [21 февраля] в 19:09 UTC ончейн-аналитик ZachXBT предоставил неопровержимые доказательства причастности Lazarus Group к взлому Bybit. В его разборе содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед атакой, а также ряд графиков и временных меток. Эти данные переданы команде биржи для содействия расследованию», — отметили представители компании.
Сохраняйте спокойствие
В рамках специального лайвстрима CEO Bybit Бэн Чжоу сообщил, что биржа обсуждает с партнерами кредит в ETH. Площадка остается платежеспособной, средства необходимы для покрытия ликвидности в Ethereum на кризисный период.
Основатель Binance Чанпэн Чжао предложил главе Bybit помощь в устранениях последствий инцидента. Он также порекомендовал приостановить вывод средств в качестве меры предосторожности.
Руководитель отдела продуктов Coinbase Конор Гроган написал, что Binance и Bitget депонировали на холодные кошельки Bybit >50 000 ETH.
Binance and Bitget just deposited 50k+ ETH directly into Bybit's cold wallets. Bitget's deposits are especially interesting; its 1/4 of all of the exchange's ETH! (that I can see)Since they skipped a deposit address, these funds were coordinated directly by Bybit themselves pic.twitter.com/yimpcYpLx7— Conor (@jconorgrogan) February 21, 2025
Согласно репортеру Колину Ву, от биржи MEXC на холодный кошелек Bybit поступило 12 652 stETH (около $33,75 млн).
Представители Bybit сообщили, что информация об инциденте «передана в соответствующие органы». Кроме того, сотрудничество с провайдерами ончейн-аналитики позволило выявить и изолировать связанные адреса, что ограничивает возможности злоумышленников «по выводу ETH через легальные рынки».
Глава Bitget Грейси Чен заявила, что несмотря на значительные потери, они эквивалентны годовой прибыли Bybit ($1,5 млрд). Она подчеркнула, что средства клиентов находятся в полной безопасности, поэтому поводов для паники нет.
Чен также уточнила, что переданные активы принадлежат самой Bitget, а не пользователям.
Чжоу заявил, что в течение примерно 10 часов после взлома биржа зафиксировала рекордное число заявок на вывод средств — более 350 000. Около 2100 запросов остаются в ожидании, при этом 99,994% операций уже завершены.
«Крупнейшее ограбление»
Гроган назвал взлом Bybit «крупнейшим ограблением в истории».
The NK hack of Bybit is the largest heist of all time, of any medium (Central Bank of Iraq Heist (was ~$1B)Its ~10x in $ terms of the 2016 DAO hack (That was a much higher % of supply though, 15% versus <0.5%)Expect we see some calls for an Ethereum fork here— Conor (@jconorgrogan) February 21, 2025
По его мнению, инцидент может актуализировать обсуждения хардфорков Ethereum.
Бывший CEO криптобиржи BitMEX Артур Хэйес отметил, что как инвестор с крупными запасами ETH, он поддержит решение сообщества в случае отката цепочки к более раннему состоянию — как после взлома The DAO в 2016 году.
My own view as a mega $ETH bag holder is $ETH stopped being money in 2016 after the DAO hack hardfork. If the community wanted to do it again, I would support it because we already voted no on immutability in 2016 y not do it again?— Arthur Hayes (@CryptoHayes) February 21, 2025
Что дальше?
Согласно анализу соучредителя Taproot Wizards Эрика Уолла, северокорейские хакеры вероятно, конвертируют все токены ERC-20 в ETH, затем обменяют полученный эфир на BTC, а после постепенно переведут биткоины в юани через азиатские биржи. Эти средства могут пойти на финансирование ядерной и ракетной программ КНДР.
If you want to understand what happens to funds after they’re stolen by North Korea/Lazarus Group, the Chainalysis 2022 report is greatStep 1: Swap any ERC20s (like stETH) into ETH Step 2: Swap any ETH into BTC Step 3: Cash out BTC to cash (Chinese Renminbi) using Asian… pic.twitter.com/cmxUEAHRZN— Eric Wall | BIP-420 🐱 (@ercwl) February 21, 2025
Подобные паттерны описаны в отчете Chainalysis за 2022 год.
«Этот процесс может занять годы. Они не торопятся», — отметил Уолл.
Эксперт также подчеркнул, что «вряд ли средства когда-либо будут возвращены, учитывая что это Lazarus Group».
ZachXBT сообщил, что Lazarus перебросила 5000 ETH на новый адрес и начала отмывать средства через централизованных миксер eXch, а затем перевела их в биткоин через Chainflip.
Глава Bybit Бен Чжоу выразил надежду, что кроссчейн-сервис поможет бирже заблокировать и предотвратить дальнейшие переводы активов на другие сети.
We are starting to see some funds being moved to https://t.co/O4AqIJo81z as bridge to convert to BTC: bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfqwith below transactions: 0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…— Ben Zhou (@benbybit) February 22, 2025
Исследователи Lookonchain выдвинули гипотезу, что атаку на Bybit мог осуществить тот же человек или группа, что и на биржу Phemex:
«Когда они отмывали средства, то перевели ETH на кошелек 0x33d0…8F65».
Согласно официальному заявлению Bybit, инцидент произошел при переводе ETH из холодного мультисиг-хранилища на горячий кошелек.
Злоумышленники подменили интерфейс подписания транзакции так, что все участники процедуры видели корректный адрес. При этом логика смарт-контракта была изменена, а хакеры получили контроль над ETH-кошельком и вывели все средства на неидентифицированный кошелек.Напомним, по данным Chainalysis, ущерб от криптомошенничества в 2024 году составил как минимум $9,9 млрд.
