Північна Корея здійснила найбільше в історії пограбування криптовалюти на 1,5 мільярда доларів

З дубайської криптобіржі Bybit викрали криптоактивів на суму приблизно $1,46 млрд. Початкові звіти свідчать про те, що зловмисне через зловмисне ПЗ та соціальну інженерію зловмисникам вдалось обманом змусити біржу схвалити транзакції, які надсилають кошти злодієві. У зламі підозрюють групу хакерів з Північної Кореї. SPEKA спробувала з’ясувати, що відомо про, ймовірно найбільше пограбування в історії. 

Експлойт Bybit та хто стоїть пограбуванням криптобіржі 

Викрадення криптоактивів сталось 21 лютого, хоча відомості про інцидент стали відомими лише 24-го. Зловмисники отримали доступ до одного із холодних гаманців платформи Bybit, що дозволило їм отримати доступ до понад 400 тис. ETH.

Це найбільше криптовалютне пограбування в історії (попереднім було викрадення $611 млн у Poly Network у 2021 році, а більшість цих коштів зрештою було повернуто хакером). Також це може стати найбільшою відомою крадіжкою будь-якого роду за весь час. Рекорд, який раніше належав Саддаму Хусейну, який викрав 1 мільярд доларів з Центрального банку Іраку напередодні війни в Іраку 2003 року. Зараз платформа пропонує до 10% від вилученої суми особам, які допоможуть повернути вкрадену криптовалюту.

Більшість криптоплатформ схиляються до версії, що крадіжку здійснила північнокорейська Lazarus Group на основі різних факторів, включаючи аналіз відмивання вкрадених криптоактивів.

Хто така Lazarus Group та як хакери відмивають викрадені кошти 

Підписуйтеся на наші соцмережі

Lazarus Group складається з невідомої кількості осіб, якою, як стверджується, керує уряд Північної Кореї. Хоча про групу відомо небагато, дослідники приписують їй багато кібератак з 2010 року. Починаючи з 2017 року суб’єкти, пов’язані з Північною Кореєю, вкрали криптоактиви на понад 6 мільярдів доларів, причому виручені кошти, як повідомляється, витратили на програму балістичних ракет.

Lazarus Group розробила потужні та складні можливості не лише для зламу цільових організацій і викрадення криптоактивів, але й для відмивання цих доходів через тисячі транзакцій блокчейну. Компанія з блокчейн аналітики, Elliptic яка після крадіжки співпрацює з Bybit, стверджує, що першим кроком є ​​обмін будь-яких вкрадених токенів на «рідний» блокчейн-актив, такий як Ether. Це пояснюється тим, що у токенів є емітенти, які в деяких випадках можуть «заморозити» гаманці, що містять вкрадені активи, тоді як немає центральної сторони, яка може заморозити Ethereum чи біткойн. 

Саме це сталося через кілька хвилин після крадіжки Bybit, коли сотні мільйонів доларів у викрадених токенах, таких як stETH і cmETH, обміняли на Ethereum. Для цього використовувалися децентралізовані біржі (DEX), імовірно, щоб уникнути будь-якого заморожування активів, яке може статися під час використання централізованої біржі для відмивання вкрадених коштів.

Другим кроком процесу відмивання є «розшарування» вкрадених коштів, щоб спробувати приховати слід транзакції. Прозорість блокчейнів означає, що цей слід транзакцій можна прослідкувати, але така тактика багатошаровості може ускладнити процес відстеження, виграючи дорогоцінний час відмивачів для виведення активів. Цей процес шарування може приймати різні форми, зокрема, надсилання коштів через велику кількість криптовалютних гаманців, переміщення коштів в інші блокчейни, перемикання між різними криптоактивами, використання DEX, сервісів coinswap або бірж.

Lazarus зараз займається цим другим етапом відмивання. Протягом двох годин після крадіжки вкрадені кошти були відправлені на 50 різних гаманців, кожен з яких містив приблизно 10 000 ETH. Зараз вони систематично спустошуються — станом на 12:30 UTC 25 лютого з цих гаманців було виведено 22% викрадених активів (зараз вартістю $270 млн).

Однак одна служба виявилася головним і готовим посередником цього відмивання. eXch — це біржа криптовалют, яка відома тим, що дозволяє своїм користувачам анонімно обмінюватися криптовалютними активами. 

Незважаючи на прямі запити Bybit, eXch відмовився заблокувати цю діяльність. Криптобіржа eXch заперечує причетність до відмивання грошей Bybit Hack. Біржа визнала обробку незначної частини викрадених, але уточнила, що це був одиничний інцидент. eXch заявив, що відповідні кошти ввели свою адресу 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123, і що комісії, отримані від цієї транзакції, будуть передані на суспільне благо. 

Наразі Bybit та організаціям-партнерам вдалося заморозити щонайменше $42 млн із викрадених коштів.

Як хакери отримали доступ до криптоактивів біржі Bybit

Гаманці для криптовалют бувають двох основних типів:

Звичайний криптовалютний гаманець захищений приватним ключем, і будь-хто, хто отримає цей ключ, може витратити кошти. Щоб зменшити цей ризик, існують мультипідписні (multisig) гаманці, які потребують кількох підписів для проведення транзакції. Наприклад, 2 з 3 або 3 з 5. Це підхід подібний до банківської системи, де для зняття великих сум коштів потрібно підтвердження кількох керівників.

Bybit використовував multisig холодні гаманці, щоб гарантувати, що переміщення коштів можливе лише після схвалення кількох високопосадовців компанії. Вони мали підписувати транзакції через спеціальний інтерфейс, який, як з’ясувалося, був скомпрометований.

Наразі розслідування ще триває, але головна версія полягає у тому, що хакери зламали або підмінили інтерфейс, який співробітники використовували для підтвердження транзакцій. Таким чином, хакери не отримали безпосередній доступ до приватних ключів, але змогли змусити систему сприймати їхні команди як легітимні. Однак як саме їм це вдалось залишається загадкою. Припускається, що для цього група залучи соціальну інженерію та впродовж тривалого часу входили в довіру до посадових осіб компанії.