Topics What's Happening

Нарушение безопасности Bybit: хронология событий и часто задаваемые вопросы

Начинающий
What's Happening
3 de mar de 2025

Введение

21 февраля 2025 года на Bybit произошел крупный взлом, который повлиял на один из холодных кошельков Bybit Ethereum и привел к убыткам почти в $1,5 млрд. Этот эксплойт привязан к Лазарусской группе, поддерживаемой государством Северной Кореи.

Сроки проведения мероприятий

13:30 UTC 21 февраля 2025 года — Bybit регулярно перевела средства с одного из мультисигн-кошельков Ethereum на теплый кошелёк, сначала переведя 30 000 ETH.

14:13 UTC 21 февраля 2025 г. — Хакеры использовали интерфейс холодного кошелька Safe multisig в рамках сложной фишинговой атаки, махинации конкретной транзакции, что привело к изменению логики смарт-контрактов холодного кошелька ETH. Это позволило хакерам перевести средства с скомпрометированного холодного кошелька, разделив их на 39 адресов.

Сколько было потеряно в результате взлома?

Взломан только один холодный кошелёк Bybit, что привело к потере $1,46 млрд следующим образом:

  • 401 347 ETH ($1,12 млрд)

  • 90 375 stETH ($253,16 млн)

  • 15 000 смETH ($44,13 млн)

  • 8000 mETH ($23 млн)

21 февраля 2025 г., 15:44 UTC — Соучредитель и CEO Bybit Бен Чжоу написал в Twitter о развивающейся ситуации, проинформировав сообщество о том, что хакеры «взяли контроль над конкретным холодным кошельком ETH» и убедили пользователей, что Bybit является ликвидным и может покрыть убытки, обеспечивая поддержку активов клиентов в соотношении 1:1.

16:07 UTC 21 февраля 2015 года — Бен в своем X посте подтвердил, что «Bybit является ликвидным, даже если этот убыток не будет возмещен, [и] все активы клиентов обеспечены в соотношении 1 к 1, [так] мы можем покрыть убыток».

17:15 UTC 21 февраля 2025 г. — Бен рассказал о ситуации в прямом эфире, чтобы объяснить ситуацию соответствующим пользователям.

Как произошла взлом?

В результате фишинговой атаки на холодных подписантов кошелька Ethereum транзакции и безопасный интерфейс пользователя были поддельными, что позволило хакеру изменить логику смарт-контракта мультизиг-кошелька. Это позволило хакеру получить контроль над холодным кошельком Bybit и перевести средства. Наша команда по-прежнему изучает, как хакер смог подделать холодный кошелёк, и вскоре мы опубликуем полный постмортальный отчёт.

Не планируется покупать ETH

В прямом эфире Бен заявил, что в настоящее время не планируется покупать ETH. Тем не менее, он подчеркнул, что компания активно ищет помощь и использует мостовые займы у партнёров, чтобы справиться с ограничениями ликвидности в этот важный период.

Другие холодные кошельки безопасны

Бен пояснил, что биткоин остается основным резервным активом и что другие холодные кошельки остаются неизменными.

Выводы в обычном режиме

Бен заверил пользователей, что все продукты и услуги работают как обычно. Выводы не приостановлены и продолжают обрабатываться в обычном режиме.

Обычные P2P-услуги

В прямом эфире руководитель отдела деривативов и институциональных услуг Bybit Шунит Ян подтвердил, что P2P-сервисы платформы работают нормально.

21 февраля 2025 года, 19:09 UTC — ZachXBT представил окончательное доказательство связи атаки с Lazarus Group, северокорейской киберпреступной организацией, и получил награду от Arkham Intelligence. Его анализ включал тестовые транзакции, подключенные кошельки, криминалистические графики и детали времени. По данным ZachXBT, кластер адресов также связан с взломом Phemex и BingX.

20:09 UTC 21 февраля 2025 года — Bitget внесла на Bybit 40 000 ETH, проявив мощную поддержку, продемонстрированную отраслевыми партнёрами и коллегами.

21 февраля 2025 г., 21:07 UTC — Bybit сообщила об этом случае в соответствующие органы власти и сообщит об этом, как только появится дополнительная информация. Она активно сотрудничала с поставщиками аналитики в сети, чтобы идентифицировать и размешивать причастные адреса.

22 февраля 2025 года, 00:54 UTC — Бен объявил, что 99,994% из более 350 000 запросов на вывод средств были обработаны в течение 10 часов после взлома, а команда Bybit работает круглосуточно, чтобы обеспечить бесперебойную работу и проблемы клиентов.

01:08 UTC 22 февраля 2025 года — Safe подтвердил, что ни в кодбейсе, ни в злонамеренных зависимостях, ни в других безопасных адресах не было нарушений. После инцидента Safe временно приостановил работу функции {Wallet} для проведения тщательной проверки сервиса.

01:21 UTC 22 февраля 2025 года — Хакен заявил, что взлом на Bybit был значительным и сильно поразил индустрию. Однако резервы Bybit по-прежнему превышают свои обязательства, а средства пользователей остаются полностью обеспеченными.

22 февраля 2025 г., 02:51 UTC — Бен написал в Twitter, что все выводы были обработаны, и что платформа возобновила обычную работу менее чем через 12 часов после инцидента с взломом на $1,4 миллиарда, крупнейшего в отрасли на сегодняшний день.

07:29 UTC 22 февраля 2025 года — Согласно последним данным мониторинга от SoSoValue и ончейн-команды TenArmor, за последние 12 часов на платформу Bybit поступило более $4 млрд средств. Сравнительный анализ притока средств показывает, что этот приток капитала полностью покрыл недостачу, вызванную вчерашним взломом.

22 февраля 2025 г., 08:52 UTC — Chainflip ответила X, заявив, что несмотря на то, что они приложили все усилия для оказания помощи, в качестве децентрализованного протокола они не могут полностью блокировать, замораживать или перенаправлять какие-либо средства.

22 февраля 2022 г., 11:00 UTC — Бен и Шуниет провели AMA на китайском языке с ETHPanda, Wu Blockchain, CEO Bitget Грейси Чен и другими участниками, чтобы обсудить инцидент взлома и поделиться своими идеями о том, как им управлять.

13:15 UTC 22 февраля 2025 года — CEO Tether Паоло Ардоино объявил, что Tether заморозил 181 000 USDT, связанный с взломом.

13:45 UTC 22 февраля 2025 г. — Bybit обработала вывод средств примерно на $4 млрд после всплеска (после использования). Хакен подтвердил, что средства пользователей Bybit остаются полностью обеспеченными, а резервы по-прежнему превышают обязательства.

15:32 UTC 22 февраля 2025 года — Bybit запустила программу вознаграждений за восстановление с вознаграждением в размере 10% от украденных средств. Чтобы принять участие, свяжитесь с Bybit по адресу bounty_program@bybit.com

22 февраля 2025 года, 16:01 UTC — Бен вместе с мэрией криптовалюты провел AMA, чтобы обсудить, как он справлялся с ситуацией после взлома, отраслевую поддержку Bybit получили от таких коллег, как Bitget, и как команда Bybit неустанно работала над кризисом.

Бен также заявил, что откат Ethereum должен быть решением сообщества, а не индивидуальным выбором, возможно, голосованием.

04:32 UTC 23 февраля 2025 года — Бен подчеркнул, что проблема не ограничивается Bybit или любой отдельной организацией, заявив: «Дело в подходе нашей отрасли к хакерам». Он призвал eXch пересмотреть и помочь блокировать отток средств.

23 февраля 2025 г., 08:55 UTC — Bybit объявила, что все депозиты и выводы возобновились до нормальных уровней.

15:41 UTC 23 февраля 2025 года — В общей сложности заморозили $42,89 млн. израсходованных средств благодаря скоординированным усилиям таких отраслевых партнёров, как Tether, THORchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget и Circle. Кроме того, протокол mETH восстановил 15 000 смETH-токенов стоимостью почти $43 миллиона.

02:35 UTC 24 февраля 2025 г. — Через два дня после взлома Bybit получила $1,23 млрд ETH в виде мостовых займов, китов и внебиржевых покупок, эффективно покрывая дефицит ETH от эксплойта.

24 февраля 2025 г., 09:12 UTC — Hacken, независимая фирма по обеспечению безопасности блокчейна, опубликовала обновленный отчёт о подтверждении резервов (PoR). Bybit полностью закрыла разрыв ETH в активах клиентов в течение 72 часов благодаря стратегическим партнёрствам с Galaxy Digital, FalconX, Wintermute и другими, а также поддержке Bitget, MEXC и DWF Labs. Ключевые активы, такие как BTC, ETH, SOL, USDT и USDC, превышают 100% коэффициенты обеспечения. Полный отчёт можно прочитать по этой ссылке.

25 февраля 2025 г., 14:40 UTC — Бен объявил о запуске программы LazarusBounty — первой в отрасли платформы вознаграждений, которая специально направлена на восстановление средств, предположительно украденных группой Lazarus Group, поддерживаемой государством Северной Кореи, в эксплойте Bybit.

15:17 UTC 26 февраля 2025 года — Бен поделился предварительными отчетами о взломе. Эти отчеты, созданные Sygnia Labs и Verichains, свидетельствуют о том, что основная причина взлома была связана с вредоносным кодом JavaScript на платформе Safe{Wallet}, и в инфраструктуре Bybit не было обнаружено никаких уязвимостей. Для получения дополнительной информации загрузите отчёты по этой ссылке.

13:25 UTC 28 февраля 2025 г. — Бен объявил об обновлении V1.1, которая добавила следующее:

  • анализ адреса кроссчейна

  • Discord

  • баланс кошелька адреса хакера

  • проверенный рейтинг охотников за наградами

#LearnWithBybit