В деле о взломе криптобиржи Bybit появились подозреваемые

Изображение от freepik

Взломщики криптобиржи Bybit начали отмывать часть украденных средств через мемкоины. Специалисты утверждают, что в операции замешана северокорейская группировка Lazarus.

Контекст

Взлом одного из кошельков Ethereum на бирже Bybit 21 февраля был назван крупнейшей хакерской атакой за всю историю криптоиндустрии, причем схема была нетривиальная: в отличие от обычных взломов, где хакеры крадут пароли или взламывают серверы, в данном случае атака была направлена на процесс подтверждения трансакций внутри самой системы Bybit. 

На криптовалютных биржах крупные суммы обычно хранятся на мультиподписных кошельках — для перевода средств нужна «подпись» сразу нескольких ответственных лиц. Хакеры сумели подменить интерфейс, который подписанты видели перед подтверждением: на экране отображался правильный адрес получателя и привычный интерфейс системы безопасности, но на самом деле подпись не просто подтверждала перевод, а давала хакерам полный контроль над кошельком.

Мемкоины для отвода глаз

Как отмечает Securitylab, Lazarus для легализации похищенных активов использует платформу Pump.fun на блокчейне Solana. В ходе расследования выяснилось, что группа перевела 50 SOL (около 8 тыс. долларов) на кошелек, связанный с запуском токена QinShihuang. Спустя короткое время его капитализация достигла 3 млн долларов, а торговый объем за сутки превысил 44 млн долларов.

Специалисты поясняют, что хакеры привлекли реальную ликвидность пользователей Pump.fun, смешивая ее с украденными средствами. После того как активы получили достаточный оборот, хакеры распродали мемкоины, обналичили выручку и распределили ее по множеству кошельков, затруднив отслеживание.

Хотя отмытая сумма значительно меньше похищенных 1,46 млрд долларов, аналитики предупреждают, что это может быть лишь тестовая операция. Если метод окажется эффективным, Lazarus, возможно, продолжит его использовать в будущем.

РБК в материале на эту тему указывает, что платформа для запуска мемных токенов Pump.fun уже удалила токен QinShihuang, который связали со взломщиками, но только из интерфейса: торги им по-прежнему технически возможны на децентрализованных сервисах.

Где деньги?

Криптобиржа Bybit полностью восстановила украденные 21 февраля средства, пишет также РБК. Как следует из материала, речь идет не о том, что средства найдены, а о возвращении платформы к стопроцентному обеспечению клиентских средств на уровне 1:1 через прямую покупку криптовалют, кредиты и другими способами. По имеющимся данным, всего было восстановлено почти 447 тыс. ETH, полученных от 13 источников, включая венчурные компании и другие криптобиржи.

Bybit также предложила 10% стоимости украденных средств в качестве награды тем, кто каким-либо образом поможет в поиске и возвращении средств.

По данным Bybit на вечер 23 февраля, скоординированные усилия сообщества привели к заморозке почти 43 млн долларов. Под заморозкой криптовалют имеется в виду не только то, что централизованные криптосервисы могут заблокировать средства на балансе пользователя, как это происходит, например, в банках. В дополнение к этому некоторые эмитенты токенов изначально и на программном уровне встраивают функции заморозки активов, то есть лишения их функции передачи с кошелька на кошелек, или применяют иные механизмы, ограничивающие использование таких токенов на любом адресе в любое время. Таким образом, хакеры ограничены в вариантах обналичивания криптовалют. 

Аналитики пришли к выводу, что часть украденных ETH – как минимум на 30 млн долларов – злоумышленники пытаются обналичить через биржу eXch. Там это опровергли, но ЕXch публично отказалась помогать Bybit, поскольку представители взломанной биржи ранее игнорировали попытки платформы урегулировать ситуацию, в которой Bybit помечает депозиты из eXch как высокорисковые.