Северокорейская группа Lazarus Group разоблачена как организация, стоящая за взломом Bybit

Сегодня хакеры взломали Bybit, и теперь мы точно знаем, кто это сделал. Раскрыта личность печально известной группировки Lazarus, поддерживаемой государством Северной Кореи и занимавшейся киберпреступностью, которая, как выяснилось, стояла за кражей криптовалюты на сумму 1,5 миллиарда долларов, что стало крупнейшей кражей криптовалюты в истории.

Подтверждение поступило от ZachXBT, одного из самых уважаемых специалистов по анализу блокчейна, который предоставил неопровержимые доказательства причастности Lazarus к атаке.

Компания Arkham Intelligence, которая предложила вознаграждение в размере 50 000 долларов заdentзлоумышленников, быстро подтвердила полученные данные. Сообщается, что анализ включал в себя данные о соединениях кошельков, тестовые транзакции и данные криминалистической экспертизы блокчейна, которые напрямую указывали на Lazarus Group.

ZachXBT, работая с Джошем из ChainFeeds (CF), связал взлом Bybit с предыдущей атакой на Phemex, другую криптовалютную биржу. Их исследование показало, что в обоих случаях использовались одни и те же адреса, схемы отмывания денег и методы эксплуатации уязвимостей. Стало ясно: за всем этим стоял Lazarus.

BREAKING: ZACHXBT разгадал заголовки BYBIT, связанные с взломом, на сумму 1 миллиард долларов

Сегодня в 19:09 UTC @zachxbt предоставил defiдоказательства того, что эта атака на Bybit была совершена группой LAZARUS.

В его отчете содержался подробный анализ тестовых транзакций и подключенных кошельков, использованных перед… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Аркхэм (@arkham) 21 февраля 2025 г.

Награда, назначенная Аркхэмом и оцененная в 32 000 долларов, была каплей в море по сравнению с тем, что только что потерял Байбит. Но скорость, с которой была назначена награда, просто невероятна. В течение часа ЗакXBT раскрыл дело.

Северокорейский «Лазарус» годамиmaticвыкачивает деньги из криптоиндустрии, финансируя программу баллистических ракет Пхеньяна за счет украденной криптовалюты.

Генеральный директор Bybit Бен Чжоу подтвердил, что биржа остается полностью работоспособной после взлома, заверив пользователей: «Горячий кошелек Bybit, теплый кошелек и все остальные холодные кошельки в порядке. Единственный взломанный холодный кошелек — это холодный кошелек ETH. ВСЕ выводы средств проходят НОРМАЛЬНО»

В более позднем заявлении Чжоу подтвердил, что Bybit остается платежеспособной, несмотря на кражу средств. «Все активы клиентов обеспечены в соотношении 1 к 1. Мы можем покрыть убытки»

До сегодняшнего взлома Bybit крупнейшей атакой в ​​истории криптовалют была атака на сеть Ronin Network, причинившая ущерб на 600 миллионов долларов 23 марта 2022 года.

Чжоу объяснил, что холодный кошелек Bybit для мультиподписи Ethereum (ETH) перевел средства на теплый кошелек биржи примерно за час до атаки. Сначала транзакция выглядела нормально.

«Похоже, что эта конкретная транзакция была замаскирована», — сказал Чжоу. «Все подписанты видели замаскированный пользовательский интерфейс, который отображал правильный адрес, а URL-адрес был с сайта Safe»

Однако фактическое сообщение, используемое для подписи, изменило логику смарт-tracхолодного кошелька ETH от Bybit. Это позволило хакеру получить контроль над кошельком и перевести все ETH наdentадрес.