Блог

Срочное обновление: сообщение о криптоограблении $1.5B на Bybit — раскрыты важные детали

31 октября 2025 27 февраля 2025 года

Утечка безопасности Bybit: раскрыт убыток в 1ТП4Т1,5 миллиарда

Рано утром 22 февраля сектор криптовалют был потрясён неподтверждёнными заявлениями о масштабной утечке безопасности, нацеленной на горячий кошелёк Bybit, с оценочными потерями в 1ТП4Т1,5 миллиарда. После небольшой проверки оказалось, что это правда. Впоследствии детали инцидента постепенно всплывали, с раскрытием команды аудита безопасности в криптосообществе и руководстве Bybit. Мультиподписной кошелёк Bybit был полностью контролируем хакерами, и примерно 1,5 миллиарда долларов США в криптоактивах были выведены, в основном ETH и stETH, а также другие ликвидные залоговые токены с ценой, близкой к ETH.

Раскрытие утечки холодного кошелька

Был ли украден холодный кошелек? Сначала ходили слухи, что украден горячий кошелек, потому что большинство атак хакеров в прошлом были направлены против горячих кошельков, а нормализованная сеть делала горячие кошельки, находящиеся в небезопасной среде, менее защищёнными. Анализ после инцидента подтвердил, что утечка произошла из-за холодного кошелька Bybit из-за операционной ошибки в стандартных протоколах транзакций. Вопреки предположениям о абсолютной безопасности холодного хранения, аудит платформы выявил зависимость от **мультиподписного контракта Safe** — подчеркивая, что даже системы, изолированные от сети, наследуют риски от реализации дизайна.

Неудача контракта Safe: как это произошло

Расследование показало, что система холодных кошельков Bybit использовала мультиподписочную структуру на базе контракта Safe — это конфигурация, которая теперь подтверждена как критическая точка сбоя. Сообщается, что Safe изначально назывался Gnosis Safe, а позже сменил название на Safe. Пока что он обеспечил безопасность активов на сумму более 1ТП4Т100 миллиардов внутри сети Ethereum. Известный своей надежной безопасностью и безупречной репутацией, этот мультиподписной кошелек широко используется различными командами проектов, DAO и торговыми платформами для безопасных транзакций. Однако недавний утечка безопасности была прослежена до фронтенда сайта Safe или мобильного приложения, доступных через Bybit. (часть веб-страницы, где пользователи осуществляют операции и взаимодействия).

Проще говоря, хакер вмешался в веб-страницу, где команда Bybit инициировала мультиподписи. Команда Bybit осуществила перевод в обычном режиме, но хакер фактически заменил подписанную транзакцию и попросил нескольких подписантов команды Bybit подписать «контракт продажи», успешно повысив уровень мультиподписного кошелька до вредоносного контракта, подготовленного хакером, то есть команда подписала от своего имени и передала кошелек хакеру.

В результате, приватные ключи, связанные с аппаратными холодными кошельками для подписи, остаются безопасными и не скомпрометированными. Safe подтвердил, что у них не выявлено уязвимостей в их мультиподписном контракте, обеспечивая его дальнейшую безопасность. Этот инцидент не связан с недостатками самой криптоиндустрии, а происходит из-за уязвимости в обычной интернет-инфраструктуре.

Взломщики проникли

Как упоминалось выше, хакеры вмешались в веб-страницу команды Bybit для доступа к интерактивному кошельку, но Safe не обнаружил проблем на стороне сервера. Очень вероятно, что хакеры уже проникли в компьютеры и другие связанные устройства членов команды Bybit через трояны и другие средства. Метод взлома может включать перехват DNS, трояны и плагины браузеров. В определённых условиях сложность и трудность достаточно высоки. Ведущие специалисты в области безопасности считают, что метод хакера очень изощрён.

Крипто-следователь ZachXBT и компания по анализу блокчейна Arkham считают, что есть доказательства, указывающие на то, что атака могла быть организована группой Lazarus, которая подозревается в поддержке определённого правительства и известна атаками на платформы криптоактивов.

Кто-то опубликовал впечатляющие достижения команды хакеров на социальной платформе: с 2017 по 2025 год они украли значительные суммы с нескольких торговых платформ и криптопроектов. Например, они украли 4000 BTC с Youbit, что прямо привело к его банкротству, украли 300 миллионов долларов США в криптоактивах с платформы Kucoin и украли 620 миллионов долларов США в криптоактивах с межцепочного моста Ronin и др. Общая сумма украденного в этот раз достигла 1,5 миллиарда долларов США, установив исторический рекорд.

Быстрое восстановление кризиса Bybit

Еще одной причиной стабилизации крипторынка может быть то, что Bybit справилась с этим правильно за ночь. Последнее объявление их официального аккаунта в китайской версии X гласит: «С момента взлома (10 часов назад) у Bybit наблюдается беспрецедентное количество запросов на вывод средств. Пока что мы получили более 350 000 запросов на вывод, а оставшиеся примерно 2 100 запросов обрабатываются. В целом, 99,9941% выводов были завершены.»

Теоретически, этот инцидент сравним с предыдущим кризисом ликвидности FTX. Плохие новости могут привести к прекращению работы платформы или даже к её краху, но сила самой платформы Bybit и правильное реагирование команды, похоже, изменили ситуацию. Bybit не только не попала в «твердыню» ликвидности, но и получила «мостовой кредит» от своих партнёров, покрывающий 80% украденного ETH, или проблема банковских паник была решена. Постинцидентное отслеживание показывает скоординированные действия отрасли:

– Вливание ликвидности: Крупные биржи перенаправили активы stETH на пострадавшие кошельки Bybit.

– солидарность руководства: Основатели ведущих крипто-компаний пообещали совместное управление кризисными ситуациями.

– Обеспечение безопасности: Межплатформенные альянсы по безопасности реализовали глобальные протоколы заморозки кошельков, направленные против хакера.