ФБР офіційно встановило, що за безпрецедентною крадіжкою криптовалюти на суму $1,5 млрд з біржі Bybit стоїть північнокорейське хакерське угруповання TraderTraitor (відоме також як Lazarus та APT38). Інцидент, що стався 21 лютого 2025 року, увійшов в історію як одна з наймасштабніших кібератак на криптовалютному ринку.
Технічний аналіз механізму компрометації
За даними провідних компаній з кібербезпеки Sygnia та Verichains, зловмисники реалізували витончену атаку на платформу мультипідписних гаманців Safe{Wallet}. Ключовим елементом атаки став шкідливий JavaScript-код, впроваджений в інтерфейс app.safe.global. Особливість коду полягала в його вибірковій активації, що дозволило хакерам тривалий час залишатися непоміченими.
Вектор проникнення та компрометація системи
Розслідування виявило, що початковою точкою проникнення став скомпрометований комп’ютер одного з розробників Safe{Wallet}. Отримавши доступ до робочої станції, хакери змогли проникнути до AWS S3 сховища платформи. Важливо підкреслити, що основна інфраструктура Bybit залишилася неушкодженою, оскільки атака була спрямована на стороннє програмне забезпечення.
Відмивання викрадених коштів
Після успішної атаки зловмисники розпочали масштабний процес конвертації викрадених активів. За інформацією ФБР, кошти розподілялися через тисячі адрес у різних блокчейн-мережах, переважно конвертуючись у біткоїн. Правоохоронці оприлюднили перелік із 51 Ethereum-адреси, пов’язаної з викраденими коштами, та закликали криптовалютні сервіси блокувати транзакції з цими адресами.
Заходи безпеки та превентивні дії
Safe Ecosystem Foundation впровадила комплексні заходи для запобігання подібним інцидентам у майбутньому, включаючи повну реконфігурацію інфраструктури та оновлення систем автентифікації. Цей випадок яскраво демонструє критичну важливість регулярного аудиту безпеки сторонніх сервісів, які інтегруються з криптовалютними платформами.
Ця масштабна кібератака підкреслює необхідність впровадження комплексного підходу до захисту криптовалютної інфраструктури. Операторам криптовалютних сервісів рекомендується посилити заходи безпеки, включаючи багаторівневу автентифікацію, регулярний аудит коду та постійний моніторинг підозрілої активності. Особливу увагу слід приділяти безпеці інтеграцій з третіми сторонами, оскільки саме вони часто стають вразливою ланкою в системі захисту.
