Вступ

У вечірній час 21 лютого 2025 року глобальна криптовалютна біржа Bybit зазнала найбільшого взлому в історії криптовалютної індустрії. Під час порушення з валютних гаманців Bybit було відкачано понад 500 000 ETH, stETH та mETH, загальний збиток перевищив 1,46 мільярда доларів за цінами ринку того дня. Викрадені активи були швидко переміщені на невідомі адреси гаманців. Цей напад перевершив взлом Poly Network 2021 року, під час якого було викрадено 611 мільйонів доларів, зробивши його найбільшим криптовалютним крадіжками.

Джерело: https://www.ic3.gov/PSA/2025/PSA250226

Джерело: https://x.com/benbybit/status/1894768736084885929

Заснований у 2018 році, Bybit є однією з найбільших криптовалютних бірж у світі, з середнім щоденним обсягом торгів, що перевищує 36 мільярдів доларів. За даними CoinMarketCap, до вторгнення Bybit утримував приблизно 16,2 мільярда доларів активів, що означає, що викрадений Ethereum становив близько 9% від загальної кількості його активів.

Аналітик, який працює з ланцюжком блоків Зак, надав докази, що вказують на те, що витік ймовірно був здійснений групою хакерів, пов'язаною з Північною Кореєю, групою Лазарус. Він отримав винагороду у розмірі $30 000 за своє розслідування уразливості.

Джерело:https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Хронологія інциденту

Вторгнення

Зловмисники використовували підроблене користувацьке інтерфейс (UI), щоб проникнути в комп'ютер співробітника Safe (постачальника гаманця), спеціально спрямовуючи свої зусилля на фронтенд системи Safe Bybit. Імітуючи законний користувацький інтерфейс, хакери могли скомпрометувати холодний гаманець з багато підписами ETH Bybit. Хакери підступно змінювали вміст транзакції під час того, що здавалося нормальним процесом транзакції.

Оскільки підписанти вважали, що вони авторизують законну транзакцію, вони не виявили, що її було замінено зловмисним контрактом. Це призвело до несанкціонованого переказу $1,46 мільярда вартості ETH на невідомі адреси, якими керували зловмисники.

Атака робочого процесу, методи та захист:

Переміщення коштів та відмивання грошей

Між 15:00 та 16:30 21 лютого 2025 року хакери завершили більшість фондових переказів. Після атаки лишилося лише приблизно $3 мільйони вартості ETH у первинному гаманці. Викрадений ETH був розділений на 40 транзакцій по 10 000 ETH кожна, тоді як stETH та mETH були розподілені на кілька різних гаманців для затемнення шляху фондів. Після цього хакери використовували децентралізовані біржі (DEXs), щоб подальше розчленувати та відмивати фонди, спрямовуючись на видалення всіх слідів.

Джерело: https://www.lazarusbounty.com/uk?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Вплив на ринок

Навіть до того, як Bybit офіційно підтвердив взлом, ціни як на BTC, так і на ETH почали падати. Протягом годин після оголошення Bitcoin втратив 3%, тоді як Ethereum впав на 7%.

Протягом вихідних ETH відбувся реабілітаційний рух до $2,800 після викупу, ініційованого Bybit, але знову знизився до понеділка. Хакер зараз став 14-м найбільшим власником ETH, і така концентрація коштів може тиснути на ринкову перспективу Ethereum.

Джерело: https://x.com/Bybit_Official/status/1893585578706227545

Контроверзія навколо протоколів міжланцюгової взаємодії

Група Лазарус часто використовує протоколи обміну міжланцюгових, такі як THORChain, для конвертації вкрадених активів в Bitcoin. THORChain сприяє безпосереднім обмінам між різними блокчейнами, такими як ETH на BTC, без проходження через централізовані біржі.

За даними дослідника THORChain, обсяг протоколу за 24 години на 5 березня досяг $93 мільйони. Розробники протоколу стикнулися з гострою критикою за якомога сприяння незаконним транзакціям північнокорейськими хакерами.

Джерело: https://thorchain.net/dashboard

Хто така група Лазарус?

Група Лазарус - одна з найактивніших і найвідоміших хакерських організацій у всьому світі. Назва "Лазарус" походить від біблійної постаті, яка була відновлена до життя, символізуючи стійкість та відродження.

Також відомі як "Стражі", "Мир" або "Команда Хто", членство та внутрішня структура групи залишаються в основному невідомими. Однак широко вважається, що вона діє під безпосереднім контролем уряду Північної Кореї. Спочатку функціонуючи як кіберзлочинна банда, Лазарус з часом еволюціонував через масштаб і складність своїх атак. Зараз вважається групою Постійної Загрози (APT).

Різні установи називають Лазара різними іменами:

• Міністерство внутрішніх справ США називає це "Прихована Кобра"
• Microsoft посилається на це як "ZINC" або "Diamond Sleet"

За словами колишнього офіцера з розвідки Північної Кореї Кім Кук-сонга, групу відомо внутрішньо в Північній Кореї як Офіс зв'язку 414.

Міністерство юстиції США заявило, що група Лазарянців діє як розширення держави Північна Корея. Її діяльність виходить за рамки кібер-розладу і включає зусилля обійти міжнародні санкції та генерувати нелегальний дохід. Здійснюючи недорогі, високоімпактні кібератаки, Північна Корея може використовувати невеликі команди хакерів, що становлять значні загрози для глобальних фінансових систем та критичної інфраструктури, особливо в Південній Кореї та Західних країнах.

Джерело: https://uk.wikipedia.org/wiki/%D0%93%D1%80%D1%83%D0%BF%D0%B0_%D0%9B%D0%B0%D0%B7%D0%B0%D1%80%D1%83%D1%81%D0%B0

Організаційна структура

Група Лазарус складається переважно з двох гілок:

1. BlueNorOff

Також відома як APT38, Stardust Chollima або BeagleBoyz, BlueNorOff фокусується на фінансовій кіберзлочинності, часто включаючи шахрайські транзакції SWIFT для незаконного переміщення коштів. Група націлювалася на фінансові установи в різних країнах, здобуті кошти вважаються підтримкою ракетних та ядерних програм Північної Кореї.

Їхня найбільш відома операція відбулася в 2016 році, коли вони спробували вкрасти майже 1 мільярд доларів через мережу SWIFT. Помилка в написанні однієї з інструкцій завадила Федеральному резервному банку Нью-Йорка завершити частину переказів. BlueNorOff використовує тактики, такі як рибальство, задні ворота, експлойти та шкідливе ПЗ (наприклад, DarkComet, WannaCry). Вони також співпрацюють з іншими кіберзлочинними групами для розширення нелегальних грошових каналів, збільшуючи глобальні кібербезпекові ризики.

2. Andariel

Також відомий як «Сайлент Чолліма», «Темний Сеул», «Гвинтівка» та «Вассоніт», Андаріель спеціалізується на кібератаки, спрямовані проти Південної Кореї, і відомий своєю хитрістю. Згідно з звітом 2020 року від армії США, група складається приблизно з 1 600 учасників, які відповідають за кібер-розвідку, оцінку вразливостей та картографування інфраструктури ворожих мереж для підготовки до майбутніх атак.

Крім спрямовування на Південну Корею, Андаріель також здійснила атаки на урядові установи, критичну інфраструктуру та корпорації в інших країнах.

Джерело: https://home.treasury.gov/news/press-releases/sm774

Минулі операції

Протягом років група Лазарус влаштовувала серію кібератак по всьому світу. Починаючи з ранніх кампаній DDoS, таких як Операція Троя (2009) та Десять Днів Дощу (2011), вони перейшли до більш складних операцій, включаючи:

• Видалення даних (наприклад, операція Dark Seoul, 2013)
• Крадіжка даних (наприклад, Хакерська атака на Sony Pictures, 2014)
• Фінансові крадіжки (починаючи з 2015 року)

З 2017 року група активно націлювалася на сектор криптовалют, здійснюючи напади на:

• Такі біржі, як Bithumb, Youbit, Atomic Wallet і WazirX
• Мости міжланцюжкові, подібні до Мосту Горизонт
• Ігри на блокчейні, такі як Axie Infinity

Їхні кампанії вкрали мільярди доларів цифрових активів.

Останніми роками Lazarus продовжує розширюватися в нових секторах, включаючи охорону здоров'я, кібербезпеку та азартні ігри в Інтернеті. Лише у 2023 році група завдала збитків приблизно на 300 мільйонів доларів, що становить 17,6% усіх глобальних збитків від хакерства.

Джерело: https://x.com/Cointelegraph/status/1894180646584516772

Як платформи реагують на хакерські атаки

Криптовалютні біржі зазвичай використовують комплексну стратегію забезпечення безпеки на основі чотирьох ключових стовпців: запобігання, виявлення, реагування на інциденти та відновлення.

1. Профілактичні заходи (превентивна оборона)

• Підвищення безпеки архітектури: Застосовуйте розділення холодного та гарячого гаманців, зберігайте більшість активів у автономних холодних гаманцях та використовуйте механізми авторизації з багаторазовим підписом (multi-sig).
• Строгий контроль доступу: Обмежте доступ співробітників до чутливих даних і впровадіть модель безпечності Zero Trust для зменшення внутрішніх загроз або компрометованих внутрішніх систем.
• Підвищення безпеки смарт-контрактів: Проведіть ретельний аудит смарт-контрактів, щоб уникнути вразливостей, таких як атаки повторного входу та цілочисельні переповнення.
• Багатофакторна аутентифікація (MFA): Вимагайте, щоб всі адміністратори та користувачі увімкнули 2FA (двофакторну аутентифікацію), щоб зменшити ризик захоплення облікового запису.
• Захист від DDoS: Використовуйте мережі доставки контенту (CDN) та зворотні проксі, щоб захиститися від розподіленого відмови в обслуговуванні (DDoS) атак, забезпечуючи доступність платформи.

2. Виявлення у реальному часі (Швидке виявлення загроз)

• Моніторинг аномалій: Використовуйте штучний інтелект та машинне навчання для виявлення підозрілих шаблонів транзакцій та позначення незвичайних виведень або великих переказів.
• Аналіз у ланцюжку: Співпрацюйте з фірмами з інтелектуального аналізу блокчейнів, такими як Chainalysis та Elliptic, щоб контролювати адреси у чорному списку та блокувати незаконні потоки коштів.
• Журнали аудиту: Ведіть вичерпні журнали всіх конфіденційних операцій (наприклад, зняття коштів, зміна дозволів) і проводьте аудит у режимі реального часу.

Джерело: demo.chainalysis.com

3. Протокол реагування на інцидент (післяатакові протоколи)

• Блокування рахунку негайно: При виявленні підозрілих виведень негайно призупиняти пошкоджені рахунки та заморожувати перекази коштів для запобігання подальших втрат.
• Повідомити Партнерам: Швидко повідомляйте інші біржі, фірми забезпечення блокчейну та правоохоронні органи для відстеження викрадених активів.
• Виправлення вразливостей: Швидкий аналіз вектора атаки, ущільнення будь-яких вразливостей та запобігання повторенню.
• Прозора комунікація з користувачем: Публікуйте оголошення негайно, щоб інформувати користувачів про подію та кроки виправлення.

4. Відновлення активів (пом'якшення збитків)

• Співпраця правоохоронних органів: співпрацюйте з міжнародними агентствами, такими як ФБР, Інтерпол та фірми з відстеження блокчейну, щоб відновити викрадені кошти.
• Компенсація застрахування: Деякі платформи підтримують поліси страхування від хакерських атак для компенсації постраждалих користувачів.

• Екстрені Фонди: Створіть екстрені фонди, такі як SAFU (Secure Asset Fund for Users) від Gate.io, щоб захистити активи користувачів під час критичних подій.

  Станом на 5 березня 2025 року резервний фонд Gate.io становив 10,328 мільярда доларів, що підкреслює його фінансову стійкість і можливості захисту користувачів.

Джерело:www.gate.io

Джерело: https://www.gate.io/safu-user-assets-security-fund

Основою кібербезпеки криптоплатформи є принцип:

«Превенція на першому місці, своєчасне виявлення, ефективна реакція та сильне відновлення.»

Платформи можуть максимізувати захист активів користувачів, поєднуючи оптимізовану архітектуру безпеки, аналіз на ланцюжку та механізми швидкого реагування.

Як користувачі можуть захистити свої криптоактиви

Криптовалюти цілком цифрові, і якщо вони втрачені або вкрадені, відновлення зазвичай неможливе за традиційними засобами (наприклад, банки). Тому важливо дотримуватися суворих заходів безпеки. Нижче наведені основні стратегії для захисту ваших криптовалютних активів:

1. Виберіть безпечні методи зберігання

Зберігання в холоді:

• Використовуйте апаратні гаманці (наприклад, Ledger, Trezor) або паперові гаманці, щоб зберігати більшість активів офлайн, подалі від інтернет-атак.
• Примітка: Обережно поводьтеся з апаратними гаманцями, щоб уникнути фізичних пошкоджень або втрати. Завжди уважно перевіряйте транзакції перед підписанням — ніколи не підтверджуйте сліпо.

Гарячі гаманці:

• Використовуйте лише для зберігання невеликих сум, призначених для щоденних транзакцій. Уникайте зберігання великих сум.
• Виберіть надійні гаманці (наприклад, MetaMask, Trust Wallet) та регулярно оновлюйте програмне забезпечення.

Джерело: https://metamask.io/

2. Захистіть свої приватні ключі та фрази для відновлення

• Ніколи не діліться: Ваш приватний ключ або фраза для відновлення єдині в управлінні вашими активами — ніколи не діліться ним з кимось.
• Безпечне резервне копіювання: Запишіть свою фразу-сід та збережіть її в вогнезахисному, водонепроникному місці (наприклад, в сейфі). Уникайте зберігання на пристроях, підключених до Інтернету.
• Розділений зберігання: Розгляньте розбиття фрази-насіння на частини та зберігання кожної з них в різних місцях для підвищення безпеки.

3. Безпека облікового запису та біржі

• Увімкніть двофакторну автентифікацію (2FA): Використовуйте програми, такі як Google Authenticator, замість 2FA на основі SMS, яка піддається захопленню. \
  Google Authenticator в магазині Play
• Надійні паролі: Використовуйте пароль, який складається щонайменше з 12 символів, включаючи великі літери, малі літери, цифри та символи. Регулярно змінюйте паролі.
• Диверсифікуйте сховище: Не зберігайте всю свою криптовалюту в одному гаманці або на біржі.
• Оберіть безпечні біржі: Вибирайте платформи з функціями, такими як захист від DDoS і холодне зберігання, та негайно знімайте великі кошти на приватні гаманці.
• Вимкніть непотрібний доступ через API: Запобігайте крадіжкам через вразливості API.
• Використовуйте Passkeys: Аутентифікуйтеся безпечно за допомогою схвалення на основі пристрою замість паролів.

Джерело: play.google.com

4. Запобігання кібератакам

• Обережно з рибалки: завжди перевіряйте URL-адреси веб-сайтів і уникайте натискання на невідомі електронні листи, текстові повідомлення або посилання в соціальних мережах.
• Спеціалізований пристрій: Розгляньте можливість використання окремого пристрою виключно для криптовалютних транзакцій, щоб уникнути впливу шкідливих програм або ризикованих веб-сайтів.
• Перевірте адреси переказу: перевіряйте адресу перед надсиланням коштів, щоб уникнути викрадення буфера обміну. \
  Джерело: Kratikal про перехоплення буфера обміну
• Уникайте використання громадських Wi-Fi: використовуйте VPN і уникайте здійснення транзакцій через незахищені мережі.

Джерело: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Безпека смарт-контрактів та DeFi

• Використовуйте лише перевірені смарт-контракти: спілкуйтеся лише з контрактами, які пройшли аудит від відомих фірм забезпечення безпеки.
  Топ аудиторів блокчейну за допомогою AlchemyТестування з невеликими сумами: Почніть з невеликої тестової транзакції перед внесенням значних коштів.
• Уникайте шахрайства з високим доходом: будьте обережні щодо проектів DeFi, NFT або фермерського доходу, які обіцяють надзвичайно високі доходи.

Джерело:https://www.alchemy.com/best/blockchain-auditing-companies

6. Стратегія довгострокової безпеки та екстрене планування

• Використовуйте багатоадресні гаманці: Вимагайте кілька схвалень для авторизації транзакцій - ідеально підходить для управління високоцінними активами.
• Регулярні аудити: періодично переглядайте баланси активів та історії транзакцій на предмет будь-яких аномалій.
• Правове та спадкове планування: Включіть утримання криптовалюти у свій спадковий план або документацію довіри, щоб уникнути невідновних втрат через втрату ключів.
• Залишайтеся в тіні: не показуйте своє криптобагатство в соціальних мережах або на публічних форумах, щоб уникнути стати ціллю для хакерів.

Джерело: coindesk.com

Висновок

Цей інцидент не лише призвів до значних фінансових втрат для Bybit, але також викликав більш широкі обурення щодо довіри та безпеки в криптовалютній індустрії. В майбутньому біржі, команди проектів та користувачі повинні надавати більший акцент на надійні практики безпеки. Основні напрямки уваги повинні включати управління приватними ключами, впровадження багато-підписних гаманців та ретельні аудити смарт-контрактів.

З поширенням кіберзагроз стають більш вдосконаленими, очікується, що глобальні регулювальні органи введуть більш суворі вимоги щодо безпеки. Наприклад, Фінансова дії група з боротьби зі відмиванням коштів (FATF) розробляє нові пропозиції з боротьби з відмиванням коштів, які спрямовані на крос-ланцюгові протоколи для підвищення контролю за децентралізованими платформами та багатоланцюговими взаємодіями. В той же час агентства, такі як U.S. SEC та європейські регулятори, можуть посилити контроль за стандартами безпеки обміну та підтримувати більш суворі заходи з відповідності KYC та AML.

Для індивідуальних інвесторів захист цифрових активів потребує проактивного підходу. Це включає вибір платформ з високими показниками безпеки, диверсифікацію методів зберігання активів та інформованість про нові ризики. При продовженні еволюції криптосистеми безпека повинна залишатися основним пріоритетом для забезпечення стійкого зростання та довіри користувачів.