Arkham: за зломом Bybit стоїть Lazarus Group
Платформа для відстеження ончейн-даних Arkham Intelligence повідомила, що до злому біржі Bybit на ~$1,5 млрд причетне північнокорейське угруповання Lazarus Group.
«Сьогодні [21 лютого] о 19:09 UTC ончейн-аналітик ZachXBT надав неспростовні докази причетності Lazarus Group до злому Bybit. У його розборі міститься детальний аналіз тестових транзакцій і пов’язаних гаманців, використаних перед атакою, а також низка графіків і часових міток. Ці дані передано команді біржі для сприяння розслідуванню», – зазначили представники компанії.
Зберігайте спокій
У рамках спеціального лайвстріму CEO Bybit Бен Чжоу повідомив, що біржа обговорює з партнерами кредит в ETH. Майданчик залишається платоспроможним, кошти необхідні для покриття ліквідності в Ethereum на кризовий період.
Засновник Binance Чанпен Чжао запропонував главі Bybit допомогу в усуненні наслідків інциденту. Він також порекомендував призупинити виведення коштів як запобіжний захід.
Керівник відділу продуктів Coinbase Конор Гроган написав, що Binance і Bitget депонували на холодні гаманці Bybit >50 000 ETH.
Згідно з репортером Коліном Ву, від біржі MEXC на холодний гаманець Bybit надійшло 12 652 stETH (близько $33,75 млн).
Представники Bybit повідомили, що інформацію про інцидент «передано до відповідних органів». Крім того, співпраця з провайдерами ончейн-аналітики дала змогу виявити та ізолювати пов’язані адреси, що обмежує можливості зловмисників «щодо виведення ETH через легальні ринки».
Глава Bitget Грейсі Чен заявила, що незважаючи на значні втрати, вони еквівалентні річному прибутку Bybit ($1,5 млрд). Вона підкреслила, що кошти клієнтів перебувають у повній безпеці, тому приводів для паніки немає.
Чен також уточнила, що передані активи належать самій Bitget, а не користувачам.
Чжоу заявив, що протягом приблизно 10 годин після злому біржа зафіксувала рекордну кількість заявок на виведення коштів – понад 350 000. Близько 2100 запитів залишаються в очікуванні, при цьому 99,994% операцій уже завершено.
«Найбільше пограбування»
Гроган назвав злом Bybit «найбільшим пограбуванням в історії».
На його думку, інцидент може актуалізувати обговорення хардфорків Ethereum.
Колишній CEO криптобіржі BitMEX Артур Хейєс зазначив, що як інвестор із великими запасами ETH, він підтримає рішення спільноти в разі відкату ланцюжка до більш раннього стану – як після зламу The DAO у 2016 році.
Що далі?
Згідно з аналізом співзасновника Taproot Wizards Еріка Уолла, північнокорейські хакери, імовірно, конвертують усі токени ERC-20 в ETH, потім обміняють отриманий ефір на BTC, а потім поступово переведуть біткоїни в юані через азіатські біржі. Ці кошти можуть піти на фінансування ядерної та ракетної програм КНДР.
Подібні патерни описані у звіті Chainalysis за 2022 рік.
«Цей процес може зайняти роки. Вони не поспішають», – зазначив Волл.
Експерт також підкреслив, що «навряд чи кошти коли-небудь будуть повернуті, враховуючи що це Lazarus Group».
ZachXBT повідомив, що Lazarus перекинула 5000 ETH на нову адресу і почала відмивати кошти через централізованих міксер eXch, а потім перевела їх у біткоїн через Chainflip.
Глава Bybit Бен Чжоу висловив надію, що кросчейн-сервіс допоможе біржі заблокувати і запобігти подальшим переказам активів на інші мережі.
Дослідники Lookonchain висунули гіпотезу, що атаку на Bybit могла здійснити та сама людина або група, що й на біржу Phemex:
«Коли вони відмивали кошти, то перевели ETH на гаманець 0x33d0…8F65».
Згідно з офіційною заявою Bybit, інцидент стався під час переказу ETH з холодного мультисиг-сховища на гарячий гаманець.
Зловмисники підмінили інтерфейс підписання транзакції так, що всі учасники процедури бачили коректну адресу. При цьому логіку смарт-контракту було змінено, а хакери отримали контроль над ETH-гаманцем і вивели всі кошти на неідентифікований гаманець.
Нагадаємо, за даними Chainalysis, збиток від криптошахрайства у 2024 році становив щонайменше $9,9 млрд.