ETH-крадіжка: Як було викрадено $1,5 мільярда в найбільшому криптохакерському нападі в історії

Найбільша крадіжка ETH в історії: Що сталося?

21 лютого 2025 року світ криптовалют став свідком найбільшої крадіжки Ethereum (ETH) в історії. Хакери успішно викрали приблизно $1,4–$1,5 мільярда в ETH з криптовалютної біржі Bybit. Цей безпрецедентний злом використав вразливості в системі холодного зберігання гаманців, методі, який раніше вважався одним із найбезпечніших способів захисту цифрових активів.

Цей інцидент викликав серйозні питання щодо безпеки криптоплатформ і підкреслив зростаючу складність кібератак, спрямованих на цю галузь. Нижче наведено детальний аналіз того, як відбувся злом, його наслідки та уроки, які він пропонує для майбутнього безпеки криптовалют.

Як хакери використали процес мультипідпису Safe{Wallet}

Атака була спрямована на Safe{Wallet}, стороннього постачальника гаманців, який використовувала Bybit. Safe{Wallet} застосовував процес мультипідпису (multisig), який покликаний підвищити безпеку, вимагаючи кількох підтверджень для транзакцій. Однак хакери виявили та використали вразливості в цій системі.

Маніпулюючи процесом мультипідпису, зловмисники змінили логіку смарт-контракту, водночас відображаючи легітимні деталі транзакцій на інтерфейсі користувача (UI). Ця обманна тактика дозволила їм обійти протоколи безпеки та отримати несанкціонований доступ до холодного гаманця Bybit, який містив значну кількість ETH.

Хто стояв за атакою? Роль групи Lazarus

Північнокорейська група Lazarus, державна хакерська організація, була ідентифікована як основний виконавець цієї атаки. Відомі своєю історією атак на криптовалютні платформи, група Lazarus була пов’язана з кількома гучними кіберзлочинами. Їхня діяльність, як вважається, фінансує програми озброєння Північної Кореї, що робить цю крадіжку не лише фінансовим злочином, але й геополітичною загрозою.

Як було відмито викрадені ETH

Після отримання доступу до коштів хакери використали складні методи відмивання, щоб приховати походження викрадених ETH. Процес включав кілька етапів:

• Децентралізовані біржі (DEX): Хакери використовували DEX для обміну ETH на інші криптовалюти, уникаючи централізованих посередників.

• Міксери: Криптовалютні міксери застосовувалися для заплутування слідів транзакцій, що ускладнювало відстеження викрадених коштів.

• Крос-чейн мости: Ці інструменти сприяли передачі активів між різними блокчейн-мережами, ще більше ускладнюючи процес відстеження.

• P2P-платформи: Прямі транзакції з іншими користувачами допомогли конвертувати викрадені ETH у Bitcoin (BTC) та фіатну валюту.

Незважаючи на зусилля блокчейн-форензиків щодо відстеження коштів, швидкий і складний процес відмивання значно ускладнив їхнє повернення.

Реакція Bybit на злом

У відповідь на атаку генеральний директор Bybit Бен Чжоу запевнив користувачів, що біржа залишається платоспроможною. Він пообіцяв покрити будь-які невідновлені кошти за рахунок казначейства компанії, забезпечуючи, що активи користувачів не постраждають. Цей проактивний підхід був спрямований на відновлення довіри користувачів і зменшення потенційних наслідків інциденту.

Вразливості безпеки в холодних гаманцях і системах мультипідпису

Злом зруйнував уявлення про те, що холодні гаманці є невразливими до кібератак. Хоча холодні гаманці є офлайн-рішеннями для зберігання, призначеними для захисту активів від онлайн-загроз, цей інцидент показав, що вразливості в пов’язаних системах, таких як процеси мультипідпису, все ще можуть бути використані.

Ключові вразливості, виявлені під час атаки, включають:

• Маніпуляція смарт-контрактами: Можливість змінювати логіку контракту без виявлення.

• Обман через UI: Відображення легітимних деталей транзакцій під час виконання шкідливих дій.

• Відсутність симуляцій перед підписанням: Недостатня перевірка транзакцій перед їхнім схваленням.

Рекомендації для покращення безпеки криптовалют

Щоб запобігти подібним зломам у майбутньому, криптовалютна індустрія повинна впроваджувати більш надійні заходи безпеки. Основні рекомендації включають:

• Симуляції перед підписанням: Симуляція транзакцій перед їхнім схваленням для виявлення аномалій.

• Перевірка сирих транзакцій: Перевірка фактичних даних транзакцій замість покладання лише на UI.

• Офлайн-верифікація: Впровадження додаткових рівнів перевірки поза блокчейном.

• Навчання співробітників: Освіта співробітників щодо найкращих практик безпеки для зменшення людських помилок.

Потреба в міжнародній співпраці та регулюванні

Злом Bybit знову підняв питання про необхідність сильніших регуляторних рамок і міжнародної співпраці для боротьби з кіберзлочинністю, пов’язаною з криптовалютами. Основні напрями включають:

• Глобальні стандарти безпеки: Встановлення галузевих протоколів для підвищення безпеки платформ.

• Міжнародна співпраця: Сприяння обміну інформацією та спільним розслідуванням між країнами.

• Регуляторний нагляд: Впровадження заходів для притягнення платформ до відповідальності за порушення безпеки.

Ширші наслідки криптокрадіжок

Наслідки цієї крадіжки виходять за межі криптовалютної індустрії. Використання викрадених коштів для фінансування геополітичної діяльності, такої як програми озброєння Північної Кореї, підкреслює ширші ризики безпеки, пов’язані з криптокрадіжками. Крім того, інцидент підкреслює нагальну потребу у підвищенні обізнаності та освіти в галузі для вирішення нових загроз.

Висновок

Крадіжка ETH на $1,5 мільярда є сигналом тривоги для криптовалютної індустрії. Вона підкреслює важливість постійних інновацій у заходах безпеки та необхідність глобальної співпраці для боротьби з дедалі складнішими кібератаками. Хоча викрадені кошти можуть бути важко повернути, уроки, отримані з цього інциденту, можуть прокласти шлях до більш безпечної та стійкої криптоекосистеми в майбутньому.