Федеральное бюро расследований (ФБР) официально подтвердило причастность северокорейской хакерской группировки TraderTraitor (также известной как Lazarus и APT38) к масштабной краже криптовалюты на сумму $1,5 млрд с биржи Bybit, произошедшей 21 февраля 2025 года. Это происшествие стало одним из крупнейших хищений в истории криптовалютной индустрии.
Механизм атаки и технические детали взлома
Согласно отчетам компаний Sygnia и Verichains, злоумышленники использовали сложную схему компрометации платформы multisig-кошельков Safe{Wallet}. Атака осуществлялась через внедрение вредоносного JavaScript-кода в интерфейс app.safe.global, который активировался только при определенных условиях, что позволило хакерам оставаться незамеченными длительное время.
Расследование и анализ инцидента
Эксперты установили, что компрометация произошла через взлом рабочей станции одного из разработчиков Safe{Wallet}, что предоставило злоумышленникам доступ к AWS S3 бакету платформы. Важно отметить, что инфраструктура самой биржи Bybit не была скомпрометирована, а атака осуществлялась через стороннюю систему управления кошельками.
Действия злоумышленников после кражи
По данным ФБР, хакеры оперативно приступили к конвертации похищенных активов в биткоин и другие криптовалюты, распределяя средства по тысячам адресов на различных блокчейнах. Правоохранители опубликовали список из 51 Ethereum-адреса, связанного с украденными средствами, и призвали криптовалютные сервисы блокировать транзакции с этих адресов.
Меры реагирования и предотвращение будущих атак
Safe Ecosystem Foundation сообщила о полной реконфигурации инфраструктуры и смене всех учетных данных для предотвращения подобных инцидентов в будущем. Этот случай подчеркивает критическую важность безопасности сторонних сервисов и инструментов, используемых криптовалютными платформами.
Данный инцидент демонстрирует растущую сложность и масштабность кибератак на криптовалютный сектор. Операторам криптовалютных сервисов рекомендуется усилить меры безопасности, включая регулярный аудит всех используемых третьесторонних решений и внедрение многоуровневых систем защиты критической инфраструктуры.
