Платформа для відстеження ончейн-даних Arkham Intelligence повідомила, що до злому біржі Bybit на ~$1,5 млрд причетне північнокорейське угруповання Lazarus Group.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
— Arkham (@arkham) February 21, 2025
«Сьогодні [21 лютого] о 19:09 UTC ончейн-аналітик ZachXBT надав неспростовні докази причетності Lazarus Group до злому Bybit. У його розборі міститься детальний аналіз тестових транзакцій і пов’язаних гаманців, використаних перед атакою, а також низка графіків і часових міток. Ці дані передано команді біржі для сприяння розслідуванню», – зазначили представники компанії.
Зберігайте спокій
У рамках спеціального лайвстріму CEO Bybit Бен Чжоу повідомив, що біржа обговорює з партнерами кредит в ETH. Майданчик залишається платоспроможним, кошти необхідні для покриття ліквідності в Ethereum на кризовий період.
Засновник Binance Чанпен Чжао запропонував главі Bybit допомогу в усуненні наслідків інциденту. Він також порекомендував призупинити виведення коштів як запобіжний захід.
Керівник відділу продуктів Coinbase Конор Гроган написав, що Binance і Bitget депонували на холодні гаманці Bybit >50 000 ETH.
Binance and Bitget just deposited 50k+ ETH directly into Bybit's cold wallets. Bitget's deposits are especially interesting; its 1/4 of all of the exchange's ETH! (that I can see)
Since they skipped a deposit address, these funds were coordinated directly by Bybit themselves pic.twitter.com/yimpcYpLx7
— Conor (@jconorgrogan) February 21, 2025
Згідно з репортером Коліном Ву, від біржі MEXC на холодний гаманець Bybit надійшло 12 652 stETH (близько $33,75 млн).
Представники Bybit повідомили, що інформацію про інцидент «передано до відповідних органів». Крім того, співпраця з провайдерами ончейн-аналітики дала змогу виявити та ізолювати пов’язані адреси, що обмежує можливості зловмисників «щодо виведення ETH через легальні ринки».
Глава Bitget Грейсі Чен заявила, що незважаючи на значні втрати, вони еквівалентні річному прибутку Bybit ($1,5 млрд). Вона підкреслила, що кошти клієнтів перебувають у повній безпеці, тому приводів для паніки немає.
Чен також уточнила, що передані активи належать самій Bitget, а не користувачам.
Чжоу заявив, що протягом приблизно 10 годин після злому біржа зафіксувала рекордну кількість заявок на виведення коштів – понад 350 000. Близько 2100 запитів залишаються в очікуванні, при цьому 99,994% операцій уже завершено.
«Найбільше пограбування»
Гроган назвав злом Bybit «найбільшим пограбуванням в історії».
The NK hack of Bybit is the largest heist of all time, of any medium (Central Bank of Iraq Heist (was ~$1B)
Its ~10x in $ terms of the 2016 DAO hack (That was a much higher % of supply though, 15% versus <0.5%)
Expect we see some calls for an Ethereum fork here
— Conor (@jconorgrogan) February 21, 2025
На його думку, інцидент може актуалізувати обговорення хардфорків Ethereum.
Колишній CEO криптобіржі BitMEX Артур Хейєс зазначив, що як інвестор із великими запасами ETH, він підтримає рішення спільноти в разі відкату ланцюжка до більш раннього стану – як після зламу The DAO у 2016 році.
My own view as a mega $ETH bag holder is $ETH stopped being money in 2016 after the DAO hack hardfork. If the community wanted to do it again, I would support it because we already voted no on immutability in 2016 y not do it again?
— Arthur Hayes (@CryptoHayes) February 21, 2025
Що далі?
Згідно з аналізом співзасновника Taproot Wizards Еріка Уолла, північнокорейські хакери, імовірно, конвертують усі токени ERC-20 в ETH, потім обміняють отриманий ефір на BTC, а потім поступово переведуть біткоїни в юані через азіатські біржі. Ці кошти можуть піти на фінансування ядерної та ракетної програм КНДР.
If you want to understand what happens to funds after they’re stolen by North Korea/Lazarus Group, the Chainalysis 2022 report is great
Step 1: Swap any ERC20s (like stETH) into ETH
Step 2: Swap any ETH into BTC
Step 3: Cash out BTC to cash (Chinese Renminbi) using Asian… pic.twitter.com/cmxUEAHRZN
— Eric Wall | BIP-420 🐱 (@ercwl) February 21, 2025
Подібні патерни описані у звіті Chainalysis за 2022 рік.
«Цей процес може зайняти роки. Вони не поспішають», – зазначив Волл.
Експерт також підкреслив, що «навряд чи кошти коли-небудь будуть повернуті, враховуючи що це Lazarus Group».
ZachXBT повідомив, що Lazarus перекинула 5000 ETH на нову адресу і почала відмивати кошти через централізованих міксер eXch, а потім перевела їх у біткоїн через Chainflip.
Глава Bybit Бен Чжоу висловив надію, що кросчейн-сервіс допоможе біржі заблокувати і запобігти подальшим переказам активів на інші мережі.
https://twitter.com/benbybit/status/1893199498966638630
Дослідники Lookonchain висунули гіпотезу, що атаку на Bybit могла здійснити та сама людина або група, що й на біржу Phemex:
«Коли вони відмивали кошти, то перевели ETH на гаманець 0x33d0…8F65».
Згідно з офіційною заявою Bybit, інцидент стався під час переказу ETH з холодного мультисиг-сховища на гарячий гаманець.
Зловмисники підмінили інтерфейс підписання транзакції так, що всі учасники процедури бачили коректну адресу. При цьому логіку смарт-контракту було змінено, а хакери отримали контроль над ETH-гаманцем і вивели всі кошти на неідентифікований гаманець.
Нагадаємо, за даними Chainalysis, збиток від криптошахрайства у 2024 році становив щонайменше $9,9 млрд.