Платформа для отслеживания ончейн-данных Arkham Intelligence сообщила, что к взлому биржи Bybit на ~$1,5 млрд причастна северокорейская группировка Lazarus Group.
Сохраняйте спокойствие
В рамках специального лайвстрима CEO Bybit Бэн Чжоу сообщил, что биржа обсуждает с партнерами кредит в ETH. Площадка остается платежеспособной, средства необходимы для покрытия ликвидности в Ethereum на кризисный период.
Основатель Binance Чанпэн Чжао предложил главе Bybit помощь в устранениях последствий инцидента. Он также порекомендовал приостановить вывод средств в качестве меры предосторожности.
Руководитель отдела продуктов Coinbase Конор Гроган написал, что Binance и Bitget депонировали на холодные кошельки Bybit >50 000 ETH.
Согласно репортеру Колину Ву, от биржи MEXC на холодный кошелек Bybit поступило 12 652 stETH (около $33,75 млн).
Представители Bybit сообщили, что информация об инциденте «передана в соответствующие органы». Кроме того, сотрудничество с провайдерами ончейн-аналитики позволило выявить и изолировать связанные адреса, что ограничивает возможности злоумышленников «по выводу ETH через легальные рынки».
Глава Bitget Грейси Чен заявила, что несмотря на значительные потери, они эквивалентны годовой прибыли Bybit ($1,5 млрд). Она подчеркнула, что средства клиентов находятся в полной безопасности, поэтому поводов для паники нет.
Чен также уточнила, что переданные активы принадлежат самой Bitget, а не пользователям.
Чжоу заявил, что в течение примерно 10 часов после взлома биржа зафиксировала рекордное число заявок на вывод средств — более 350 000. Около 2100 запросов остаются в ожидании, при этом 99,994% операций уже завершены.
«Крупнейшее ограбление»
Гроган назвал взлом Bybit «крупнейшим ограблением в истории».
По его мнению, инцидент может актуализировать обсуждения хардфорков Ethereum.
Бывший CEO криптобиржи BitMEX Артур Хэйес отметил, что как инвестор с крупными запасами ETH, он поддержит решение сообщества в случае отката цепочки к более раннему состоянию — как после взлома The DAO в 2016 году.
Что дальше?
Согласно анализу соучредителя Taproot Wizards Эрика Уолла, северокорейские хакеры вероятно, конвертируют все токены ERC-20 в ETH, затем обменяют полученный эфир на BTC, а после постепенно переведут биткоины в юани через азиатские биржи. Эти средства могут пойти на финансирование ядерной и ракетной программ КНДР.
If you want to understand what happens to funds after they’re stolen by North Korea/Lazarus Group, the Chainalysis 2022 report is great
Step 1: Swap any ERC20s (like stETH) into ETH
Step 2: Swap any ETH into BTC
Step 3: Cash out BTC to cash (Chinese Renminbi) using Asian… pic.twitter.com/cmxUEAHRZN
— Eric Wall | BIP-420(@ercwl) February 21, 2025
Подобные паттерны описаны в отчете Chainalysis за 2022 год.
Эксперт также подчеркнул, что «вряд ли средства когда-либо будут возвращены, учитывая что это Lazarus Group».
ZachXBT сообщил, что Lazarus перебросила 5000 ETH на новый адрес и начала отмывать средства через централизованных миксер eXch, а затем перевела их в биткоин через Chainflip.
Глава Bybit Бен Чжоу выразил надежду, что кроссчейн-сервис поможет бирже заблокировать и предотвратить дальнейшие переводы активов на другие сети.
Согласно официальному заявлению Bybit, инцидент произошел при переводе ETH из холодного мультисиг-хранилища на горячий кошелек.
Злоумышленники подменили интерфейс подписания транзакции так, что все участники процедуры видели корректный адрес. При этом логика смарт-контракта была изменена, а хакеры получили контроль над ETH-кошельком и вывели все средства на неидентифицированный кошелек.
Напомним, по данным Chainalysis, ущерб от криптомошенничества в 2024 году составил как минимум $9,9 млрд.