Інцидент безпеки Bybit: Часові рамки подій і поширені запитання
Вступ
21 лютого 2025 року Bybit зазнала масштабного хакерського інциденту, що вплинуло на один із холодних гаманців Bybit Ethereum і призвело до збитків на суму майже $1,5 мільярда. Користуватися цією програмою пов’язано з групою Lazarus з підтримкою штату.
Часові рамки подій
21 лютого 2025 року о 13:30 UTC — Bybit здійснила регулярний переказ з одного з наших мультисиг-холодних гаманців Ethereum на теплий гаманець, спочатку переказуючи суму 30 000 ETH.
21 лютого 2025 року о 14:13 UTC — хакери скористалися інтерфейсом безпечного мультисиг-холодного гаманця через складну фішингову атаку, що призвело до зміни логіки смарт-контрактів холодного гаманця ETH.
Це дозволило хакерам переказати кошти з зламаного холодного гаманця, розділивши їх на 39 адрес.
Скільки було втрачено під час злому?
Зламався лише один холодний гаманець Bybit, що призвело до втрати $1,46 мільярда:
401 347 ETH (1,12 млрд USD)
90 375 stETH ($253,16 млн)
15 000 смETH (44,13 млн USD)
8000 mETH (23 мільйони USD)
21 лютого 2025 року о 15:44 UTC — співзасновник і генеральний директор Bybit Бен Чжоу твітнув про ситуацію, що розвивається, завчасно повідомляючи спільноту про те, що хакери «взяли контроль за конкретним холодним гаманцем ETH» і запевнили користувачів, що Bybit є платоспроможною і може покрити збитки, гарантуючи, що активи клієнтів підтримуються у співвідношенні 1:1.
21 лютого 2015 року о 16:07 UTC — Бен наголосив у своїй статті X, що «Bybit — це Solvent, навіть якщо цю хакерську втрату не буде повернено, усі активи клієнтів мають резерв від 1 до 1, ми можемо покрити збитки».
21 лютого 2025 року о 17:15 UTC — генеральний директор Bybit Бен Чжоу прямував у реальному часі, щоб чітко пояснити постраждалим користувачам ситуацію.
Як стався злий хакер?
Через фішингову атаку на мультисиг-підписувачів холодного гаманця Ethereum трансакція та безпечний інтерфейс були приголомшені, що дозволило хакеру змінити логіку смарт-контрактів мультисиг-гаманця. Це дозволило хакеру отримати контроль над холодним гаманцем Bybit і переказати кошти. Наша команда все ще вивчає, як хакер зміг помаскувати холодний гаманець, і незабаром випустить повний пост-іпотечний звіт.
Не планується купувати ETH
Співзасновник і генеральний директор Bybit Бен Чжоу заявив під час прямої трансляції, що наразі не планується купувати ETH. Однак він підкреслив, що компанія активно шукає допомогу та використовує мостові позики від партнерів для подолання обмежень ліквідності протягом цього критичного періоду.
Інші холодні гаманці безпечні
Бен роз’яснив, що Bitcoin залишається основним резервним активом, а інші холодні гаманці залишаються незмінними.
Виведення, як зазвичай
Бен запевнив користувачів, що всі продукти та послуги працюють як зазвичай. Виведення не зупинено, і їх продовжують обробляти як зазвичай.
Звичайні P2P-послуги
Начальник відділу деривативів і інституційних систем Bybit під час прямої трансляції підтвердив, що P2P-послуги платформи працюють нормально.
21 лютого 2025 року о 19:09 UTC — ZachXBT подав чіткі докази, що пов’язують атаку з групою Lazarus, північнокорейською кіберзлочинною організацією, забравши суму від Arkham Intelligence. Його аналіз включає тестові транзакції, підключені гаманці, графіки криміналістичного судноутворення та деталі часу. Згідно з даними ZachXBT, кластер адрес також пов’язаний із зламом Phemex і BingX.
21 лютого 2025 р. о 20:09 UTC — Bitget вніс 40 000 ETH, демонструючи сильну підтримку, продемонстровану галузевими партнерами та колегами .
21 лютого 2025 р. о 21:07 UTC — Bybit повідомила про цю справу відповідні органи влади та внесе зміни, щойно з’явиться додаткова інформація. Вона активно співпрацювала з ончейн-провайдерами аналітики для визначення та видалення пов’язаних адрес.
22 лютого 2025 року о 00:54 UTC Бен оголосив, що 99 994% понад 350 000 запитів на виведення коштів було оброблено через 10 годин після злому, при цьому команда Bybit працює цілодобово, щоб забезпечити безперебійну роботу та забезпечити занепокоєння клієнтів.
22 лютого 2025 року о 01:08 UTC — Безпека підтвердила, що не було компромісу в його кодовій базі або зловмисних залежностях, і це не вплинуло на інші безпечні адреси. Після інциденту Safe тимчасово призупинила функцію Wallet для проведення ретельного огляду сервісу.
22 лютого 2025 року о 01:21 UTC — Хакер заявив, що злам Bybit був значним і завдав великого удару галузі. Однак резерви Bybit все ще перевищують свої зобов’язання, а кошти користувачів залишаються повністю забезпеченими.
22 лютого 2025 року о 02:51 UTC — Бен твітив, що всі виведення коштів було оброблено та відновлено нормальну діяльність менш як через 12 годин після хакерського інциденту в розмірі $1,4 мільярда — найбільшого в галузі.
22 лютого 2025 року о 07:29 UTC — За останніми даними моніторингу від SoSoValue та ончейн служби безпеки TenArmor за останні 12 годин понад $4 мільярди коштів увійшли на торгову платформу Bybit. Порівняльний аналіз надходження коштів свідчить про те, що цей приплив капіталу повністю вплинув на дефіцит, спричинений вчорашнім зломом.
22 лютого 2025 року о 08:52 UTC — Chainflip відповів X, заявивши, що хоча вони доклали всіх зусиль, щоб допомогти, як децентралізований протокол, вони не можуть повністю блокувати, заморожувати або переспрямувати кошти.
22 лютого 20225 року о 11:00 UTC — Бен і Шунєт мали AMA китайською мовою з ETHPanda, Wu Blockchain, Gracy Chen та іншими учасниками, щоб обговорити інцидент з хакерськими атаками та поділитися своїми думками про те, як ним керувати.
22 лютого 2025 року о 13:15 UTC — генеральний директор Tether Пало Ардойно оголосив, що Tether зависла $181 000 USDT, пов’язану з хакерською атакою.
22 лютого 2025 року о 13:45 UTC — Bybit обробила приблизно $4 мільярди виведення після зростання після експлоту. Хакер підтвердив, що кошти користувачів Bybit залишаються повністю забезпеченими, а резерви все ще перевищують зобов’язання.
22 лютого 2025 року о 15:32 UTC — Bybit запускає Програму відновлення бонатів з винагородою в розмірі 10% від викрадених коштів. Щоб узяти участь, зв’яжіться з Bybit за адресою bounty_program@bybit.com
22 лютого 2025 року о 16:01 UTC — Бен брав участь у AMA в реальному часі з криптовалютним залом, розповідаючи про те, як він впорався з ситуацією після хакерства, про галузеву підтримку Bybit, отриману від колег, таких як Bitget, Binance, і про те, як команда Bybit невтомно працювала для подолання кризи. Бен також заявив, що скасування Ethereum має бути рішенням спільноти, можливо, шляхом голосування, а не індивідуальним вибором.
23 лютого 2025 року о 04:32 UTC — Бен наголосив, що проблема виходить за межі Bybit або будь-якої окремої організації,
а саме: «Йдеться про підхід нашої галузі до хакерів». Він закликав @eXch переглянути та допомогти блокувати відтік коштів.
23 лютого 2025 року о 08:55 UTC — Bybit оголосила, що всі депозити та виведення відновилися до нормального рівня.
23 лютого 2025 р., 15:41 UTC — $42,89 млн використаних коштів були заморожені завдяки скоординованим зусиллям галузевих партнерів, зокрема Tether, Thorchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget і Circle. Крім того, протокол mETH відновив токени на 15 000 смETH на суму близько $43 млн.
24 лютого 2025 року о 02:35 UTC — через 2 дні після хакерської атаки Bybit отримала 1,23 мільярда доларів ETH
за допомогою мостових позик, депозитів у киті та покупок рентгенапарата «КРАН», ефективно покриваючи дефіцит ETH від використання.
24 лютого 2025 року о 09:12 UTC — Хакен, незалежна фірма з безпеки блокчейну, опублікував оновлений звіт про підтвердження резервів (PoR). Bybit повністю закрила прогалину в ETH активів клієнтів протягом 72 годин через стратегічні партнерські відносини з Galaxy Digital, FalconX, Wintermute тощо, а також підтримку Bitget, MEXC і DWF Labs. Ключові активи, як-от BTC, ETH, SOL, USDT і USDC, перевищують 100% коефіцієнта застави. Користувачі можуть прочитати повний звіт тут: https://www.bybit.com/app/user/audit-report
25 лютого 2025 року о 14:40 UTC — генеральний директор Bybit Бен Чжоу оголосив про запуск програми LazarusBounty — першої в галузі платформи для борті, яка спеціально спрямована на повернення коштів, нібито вкрадених північнокорейською державною Lazarus Group під час використання Bybit.
26 лютого 2025 року о 15:17 UTC — генеральний директор Bybit Бен Чжоу поділився попередніми звітами про злий, здійснений Sygnia Labs і Verichains. Обидва повідомлення свідчать про те, що основна причина хакерства виникла через зловмисний код JavaScript на платформі Safe{Wallet}, і в інфраструктурі Bybit не виявлено вразливості. Для отримання додаткової інформації завантажте звіти тут.
28 лютого 2025 року о 13:25 UTC Бен оголосив про оновлення V1.1 на платформі LazarusBounty, яка додала аналіз адреси кросчейн-хакера, канал Discord, баланс гаманця з адресою хакера та перевірений рейтинг мисливців-добровольців.
#LearnWithBybit