Как произошла крупнейшая кража криптовалюты в истории
Группа Lazarus, связанная с Северной Кореей, похитила $1,5 млрд с криптовалютной биржи Bybit после взлома устройства разработчика мультисиг-кошелька Safe{Wallet}.По данным расследований Sygnia и Verichains, атака началась с компрометации инфраструктуры Safe{Wallet}.
Специалисты считают, что утекли или были скомпрометированы учетные данные AWS S3 или CloudFront Safe{Wallet}, что позволило хакерам подменить код.
Детали атаки
- 19 февраля хакеры внедрили вредоносный код в файлы JavaScript на сервере Safe{Wallet}.
- 21 февраля в 12:30 UTC во время запланированного перевода ETH между кошельками Bybit код перехватил транзакцию и перенаправил средства на адрес атакующих.
- Через две минуты вредоносный код был удален с серверов Safe{Wallet}.
Реакция Safe{Wallet}
Команда Safe{Wallet} подтвердила, что атака произошла через устройство разработчика, получившего доступ к аккаунту Bybit.После инцидента Safe{Wallet} провела полную перезагрузку инфраструктуры:
- Удалены уязвимости, ротация всех учетных данных.
- Временно отключена интеграция Ledger (использовалась в атаке).
- Усилены механизмы мониторинга и верификации транзакций.
Кто стоит за атакой?
Аналитик ZachXBT нашел связи похищенных средств с ранее взломанными кошельками на биржах Phemex, BingX и Poloniex, что указывает на причастность Lazarus Group.Эту информацию подтвердили TRM Labs и Elliptic, обнаружившие «значительное совпадение» между адресами Bybit-хакеров и кошельками, связанными с предыдущими северокорейскими киберограблениями.
$6 миллиардов на кибератаки и ракеты
Lazarus Group и другие северокорейские хакерские подразделения с 2017 года похитили более $6 миллиардов в криптовалюте.Часть этих средств, по данным Elliptic, идет на финансирование северокорейской программы баллистических ракет.
Несмотря на колоссальные потери, Bybit заявила, что остается финансово состоятельной, а утраченные активы будут частично восстановлены.
Источник
