Topics What's Happening

Порушення безпеки на Bybit: хронологія подій і поширені запитання

Початковий
What's Happening
3 бер 2025 р.

Знайомство із сервісом

21 лютого 2025 року Bybit зазнала масштабного хакерського інциденту, що вплинуло на один із холодних гаманців Bybit Ethereum і призвело до збитків на суму майже $1,5 мільярда. Користуватися цією програмою пов’язано з групою Lazarus, підтримуваною державою Північної Кореї.

Часові рамки подій

21 лютого 2025 року о 13:30 UTC — Bybit здійснила регулярний переказ з одного з наших мультисиг-холодних гаманців Ethereum на теплий гаманець, спочатку переказуючи суму 30 000 ETH.

21 лютого 2025 року о 14:13 UTC — хакери скористалися інтерфейсом безпечного мультисиг-холодного гаманця через складну фішингову атаку, що призвело до зміни логіки смарт-контрактів холодного гаманця ETH. Це дозволило хакерам переказати кошти з зламаного холодного гаманця, розділивши їх на всі 39 адрес.

Скільки було втрачено під час злому?

Зламався лише один холодний гаманець Bybit, що призвело до втрати в розмірі $1,46 мільярда таким чином:

  • 401 347 ETH (1,12 млрд USD)

  • 90 375 stETH ($253,16 млн)

  • 15 000 смETH (44,13 млн USD)

  • 8000 mETH (23 мільйони USD)

21 лютого 2025 року о 15:44 UTC — співзасновник і генеральний директор Bybit Бен Чжоу твітнув про ситуацію, що розвивається, повідомляючи спільноту про те, що хакери «взяли контроль за конкретним холодним гаманцем ETH» і запевняючи користувачів, що Bybit є платоспроможним і може покрити збитки, гарантуючи, що активи клієнтів підтримуються у співвідношенні 1:1.

21 лютого 2015 року о 16:07 UTC — Бен наголосив у своїй статті X, що «Bybit — це Solvent, навіть якщо цю хакерську втрату не буде повернено, [і] усі активи клієнтів мають підтримку від 1 до 1, [так] ми можемо покрити збитки».

21 лютого 2025 року о 17:15 UTC — Бен у прямому ефірі роз’яснив цю ситуацію користувачам, яких це стосується.

Як стався злий хакер?

Через фішингову атаку на мультисиг-підписувачів холодного гаманця Ethereum трансакція та безпечний інтерфейс були приголомшені, що дозволило хакеру змінити логіку смарт-контрактів мультисиг-гаманця. Це дозволило хакеру отримати контроль над холодним гаманцем Bybit і переказати кошти. Наша команда все ще вивчає, як хакер зміг спотворити холодний гаманець, і незабаром ми опублікуємо повний постсмертний звіт.

Не планується купувати ETH

Під час прямої трансляції Бен заявив, що наразі не планується купувати ETH. Однак він наголосив, що компанія активно шукає допомогу та використовує мостові позики від партнерів, щоб орієнтуватися на обмеження ліквідності протягом цього критичного періоду.

Інші холодні гаманці безпечні

Бен роз’яснив, що Bitcoin залишається основним резервним активом, і що це не впливає на інші холодні гаманці.

Виведення, як зазвичай

Бен запевнив користувачів, що всі продукти та послуги працюють як зазвичай. Виведення не зупинено, і їх продовжують обробляти як зазвичай.

Звичайні P2P-послуги

Начальник відділу деривативів і інституційних систем, Shunyet Jan, під час прямої трансляції підтвердив, що P2P-послуги платформи працюють нормально.

21 лютого 2025 р. о 19:09 UTC — ZachXBT подав чіткі докази, що пов’язують атаку з групою Lazarus, північнокорейською кіберзлочинною організацією, і забрав суму від Arkham Intelligence. Його аналіз включав тестові транзакції, підключені гаманці, графіки криміналістичного характеру та деталі часу. Згідно з даними ZachXBT, кластер адрес також пов’язаний із хакерським атакою Phemex і BingX.

21 лютого 2025 року о 20:09 UTC — Bitget вніс 40 000 ETH на Bybit, демонструючи сильну підтримку, продемонстровану галузевими партнерами та однорангами.

21 лютого 2025 р. о 21:07 UTC — Bybit повідомила про цю справу відповідні органи влади та негайно внесе зміни, щойно з’явиться додаткова інформація. Вона активно співпрацювала з ончейн-провайдерами аналітики, щоб визначити та змішати пов’язані адреси.

22 лютого 2025 року о 00:54 UTC Бен оголосив, що 99 994% із понад 350 000 запитів на виведення коштів було оброблено протягом 10 годин після злому, при цьому команда Bybit працює цілодобово, щоб забезпечити безперебійну роботу та забезпечити занепокоєння клієнтів.

22 лютого 2025 р. о 01:08 UTC — Безпечно підтверджено, що не було жодних компромісів у його кодовій базі чи зловмисних залежностях, і це не вплинуло на інші безпечні адреси. Після інциденту Safe тимчасово призупинила свою функціональність {Wallet}, щоб провести ретельний огляд сервісу.

22 лютого 2025 року о 01:21 UTC — Хакер заявив, що злам Bybit був значним і завдав великого удару галузі. Однак резерви Bybit все ще перевищують свої зобов’язання, а кошти користувачів залишаються повністю забезпеченими.

22 лютого 2025 р. 02:51 UTC — Бен твітив, що всі виведення коштів було оброблено, і що платформа відновила нормальну роботу менш як через 12 годин після інциденту хакерства в розмірі $1,4 мільярда, найбільшого в галузі на сьогоднішній день.

22 лютого 2025 року о 07:29 UTC — За останніми даними моніторингу від SoSoValue та ончейн служби безпеки Ten Armor за останні 12 годин понад $4 мільярди коштів увійшли на торгову платформу Bybit. Порівняльний аналіз надходження коштів свідчить про те, що цей приплив капіталу повністю вплинув на дефіцит, спричинений вчорашнім зломом.

22 лютого 2025 року о 08:52 UTC — Chainflip відповів X, заявивши, що хоча він і доклав усіх зусиль, щоб допомогти, оскільки є децентралізованим протоколом, він не може повністю блокувати, заморожувати або переспрямувати кошти.

22 лютого 20225 року о 11:00 UTC — Бен і Шунєт мали AMA китайською мовою з ETHPanda, Wu Blockchain, генеральним директором Bitget Грейсі Чен та іншими учасниками, щоб обговорити інцидент хакерства та поділитися своїми думками про те, як ним керувати.

22 лютого 2025 року о 13:15 UTC — генеральний директор Tether Пало Ардойно оголосив, що Tether зафіксував $181 000 USDT, пов’язані з хакерським атакою.

22 лютого 2025 року о 13:45 UTC — Bybit обробила приблизно $4 мільярди виведення після зростання (після експлоту). Хакер підтвердив, що кошти користувачів Bybit залишаються повністю забезпеченими, а резерви все ще перевищують зобов’язання.

22 лютого 2025 р. о 15:32 UTC — Bybit запустила Програму відновлення бонатів з винагородою 10% викрадених коштів. Щоб узяти участь, зв’яжіться з Bybit за адресою bounty_program@bybit.com

22 лютого 2025 року о 16:01 UTC — Бен почав працювати в AMA в реальному часі з криптовалютним залом, щоб обговорити, як він впорався з ситуацією після злому; галузева підтримка Bybit, отримана від колег, як-от Bitget; і спосіб, яким команда Bybit невтомно працювала для подолання кризи.

Бен також заявив, що скасування Ethereum має бути рішенням спільноти, а не індивідуальним вибором, можливо, шляхом голосування.

23 лютого 2025 року о 04:32 UTC — підкреслимо, що проблема виходить за межі Bybit або будь-якої окремої організації, зазначивши: «Йдеться про підхід нашої галузі до хакерів». Він закликав eXch переглянути та допомогти блокувати відтік коштів.

23 лютого 2025 року о 08:55 UTC — Bybit оголосила, що всі депозити та виведення відновилися до нормального рівня.

23 лютого 2025 року о 15:41 UTC — Загалом замерзли $42,89 млн використаних коштів завдяки скоординованим зусиллям галузевих партнерів, зокрема Tether, THORchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget і Circle. Крім того, протокол mETH відновив токени на 15 000 смETH на суму близько $43 млн.

24 лютого 2025 року о 02:35 UTC — через два дні після хакерської атаки Bybit отримала 1,23 мільярда доларів ETH за допомогою мостових позик, китових депозитів і покупок OTC, фактично покриваючи дефіцит ETH від експлуатації.

24 лютого 2025 року о 09:12 UTC — Хакен, незалежна фірма з безпеки блокчейну, опублікував оновлений звіт про підтвердження резервів (PoR). Bybit повністю закрила прогалину в ETH активів клієнтів протягом 72 годин через стратегічні партнерські відносини з Galaxy Digital, FalconX, Wintermute та іншими, а також підтримку Bitget, MEXC та DWF Labs. Ключові активи, як-от BTC, ETH, SOL, USDT і USDC, перевищують 100% коефіцієнта застави. Користувачі можуть прочитати повний звіт тут.

25 лютого 2025 року о 14:40 UTC — Бен оголосив про запуск програми LazarusBounty — першої в галузі платформи для борті, яка спеціально спрямована на повернення коштів, нібито вкрадених північнокорейською державною Lazarus Group під час використання Bybit.

26 лютого 2025 року о 15:17 UTC — Бен поділився попередніми звітами про хакерський злам. Ці звіти, що проводяться Sygnia Labs і Verichains, обидва припускають, що основна причина хакерства була пов’язана з зловмисним кодом JavaScript на платформі Safe{Wallet}, і в інфраструктурі Bybit не виявлено вразливості. Для отримання додаткової інформації завантажте звіти тут.

28 лютого 2025 року о 13:25 UTC Бен оголосив про оновлення V1.1 на платформі LazarusBounty, яка додала таке:

  • аналіз адреси кросчейн-хакера

  • Канал дискдагу

  • баланс гаманця за адресою хакера;

  • перевірений рейтинг мисливців на щастить;

#LearnWithBybit