Arkham: за взломом Bybit стоит Lazarus Group

Платформа для отслеживания ончейн-данных Arkham Intelligence сообщила, что к взлому биржи Bybit на ~$1,5 млрд причастна северокорейская группировка Lazarus Group.

BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT

At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.

His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

— Arkham (@arkham) February 21, 2025

«Сегодня [21 февраля] в 19:09 UTC ончейн-аналитик ZachXBT предоставил неопровержимые доказательства причастности Lazarus Group к взлому Bybit. В его разборе содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед атакой, а также ряд графиков и временных меток. Эти данные переданы команде биржи для содействия расследованию», — отметили представители компании.

Основатель AML-сервиса BitOK и криптоинвестор Дмитрий Мачихин в комментарии для ForkLog отметил, что украденная криптовалюта активно выводится из сети Ethereum в другие блокчейны.

Сохраняйте спокойствие

В рамках специального лайвстрима CEO Bybit Бен Чжоу сообщил, что биржа обсуждает с партнерами кредит в ETH. Площадка остается платежеспособной, средства необходимы для покрытия ликвидности в Ethereum на кризисный период.

Основатель Binance Чанпэн Чжао предложил главе Bybit помощь в устранениях последствий инцидента. Он также порекомендовал приостановить вывод средств в качестве меры предосторожности.

Руководитель отдела продуктов Coinbase Конор Гроган написал, что Binance и Bitget депонировали на холодные кошельки Bybit >50 000 ETH.

Binance and Bitget just deposited 50k+ ETH directly into Bybit's cold wallets. Bitget's deposits are especially interesting; its 1/4 of all of the exchange's ETH! (that I can see)

Since they skipped a deposit address, these funds were coordinated directly by Bybit themselves pic.twitter.com/yimpcYpLx7

— Conor (@jconorgrogan) February 21, 2025

Согласно репортеру Колину Ву, от биржи MEXC на холодный кошелек Bybit поступило 12 652 stETH (около $33,75 млн).

Китайские криптопредприниматели поддерживают ликвидность, активно переводя ETH на пострадавшую платформу. В частности, соучредитель Huobi Ду Цзюнь внес 10 000 ETH и пообещал не выводить их в течение месяца. Сооснователи Conflux и Mask Network также заявили, что депонировали эфир на холодные кошельки биржи.

Представители Bybit сообщили, что информация об инциденте «передана в соответствующие органы». Кроме того, сотрудничество с провайдерами ончейн-аналитики позволило выявить и изолировать связанные адреса, что ограничивает возможности злоумышленников «по выводу ETH через легальные рынки».

Глава Bitget Грейси Чен заявила, что несмотря на значительные потери, они эквивалентны годовой прибыли Bybit ($1,5 млрд). Она подчеркнула, что средства клиентов находятся в полной безопасности, поэтому поводов для паники нет. 

Чен также уточнила, что переданные активы принадлежат самой Bitget, а не пользователям.

Чжоу заявил, что в течение примерно 10 часов после взлома биржа зафиксировала рекордное число заявок на вывод средств — более 350 000. Около 2100 запросов остаются в ожидании, при этом 99,994% операций уже завершены.

«Крупнейшее ограбление»

Гроган назвал взлом Bybit «крупнейшим ограблением в истории».

The NK hack of Bybit is the largest heist of all time, of any medium (Central Bank of Iraq Heist (was ~$1B)

Its ~10x in $ terms of the 2016 DAO hack (That was a much higher % of supply though, 15% versus <0.5%)

Expect we see some calls for an Ethereum fork here

— Conor (@jconorgrogan) February 21, 2025

По его мнению, инцидент может актуализировать обсуждения хардфорков Ethereum.

Бывший CEO криптобиржи BitMEX Артур Хэйес отметил, что как инвестор с крупными запасами ETH он поддержит решение сообщества в случае отката цепочки к более раннему состоянию — как после взлома The DAO в 2016 году.

My own view as a mega $ETH bag holder is $ETH stopped being money in 2016 after the DAO hack hardfork. If the community wanted to do it again, I would support it because we already voted no on immutability in 2016 y not do it again?

— Arthur Hayes (@CryptoHayes) February 21, 2025

Что дальше?

Согласно анализу соучредителя Taproot Wizards Эрика Уолла, северокорейские хакеры вероятно, конвертируют все токены ERC-20 в ETH, затем обменяют полученный эфир на BTC, а после постепенно переведут биткоины в юани через азиатские биржи. Эти средства могут пойти на финансирование ядерной и ракетной программ КНДР.

If you want to understand what happens to funds after they’re stolen by North Korea/Lazarus Group, the Chainalysis 2022 report is great

Step 1: Swap any ERC20s (like stETH) into ETH

Step 2: Swap any ETH into BTC

Step 3: Cash out BTC to cash (Chinese Renminbi) using Asian… pic.twitter.com/cmxUEAHRZN

— Eric Wall | BIP-420 🐱 (@ercwl) February 21, 2025

Подобные паттерны описаны в отчете Chainalysis за 2022 год.

«Этот процесс может занять годы. Они не торопятся», — отметил Уолл.

Эксперт также подчеркнул, что «вряд ли средства когда-либо будут возвращены, учитывая что это Lazarus Group».

ZachXBT сообщил, что Lazarus перебросила 5000 ETH на новый адрес и начала отмывать средства через централизованный миксер eXch, а затем перевела их в биткоин через Chainflip.

Глава Bybit Бен Чжоу выразил надежду, что кроссчейн-сервис поможет бирже заблокировать и предотвратить дальнейшие переводы активов на другие сети.

We are starting to see some funds being moved to https://t.co/O4AqIJo81z as bridge to convert to BTC: bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

with below transactions:
0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…

— Ben Zhou (@benbybit) February 22, 2025

В Chainflip заявили, что зафиксировали попытки злоумышленников вывести украденные с Bybit средства в биткоине через их платформу.  

Для противодействия этому разработчики отключили часть фронтенд-сервисов, но полностью остановить протокол, учитывая его децентрализованную структуру со 150 узлами, невозможно. 

Исследователи Lookonchain выдвинули гипотезу, что атаку на Bybit мог осуществить тот же человек или группа, что и на биржу Phemex:

«Когда они отмывали средства, то перевели ETH на кошелек 0x33d0…8F65».

Поддержка сообщества

Чжоу выразил благодарность и привел внушительный список организаций, поддержавших пострадавшую биржу.

Финансовая помощь позволила торговой платформе быстро восполнить ликвидность, способствуя росту цены Ethereum после вчерашней коррекции.

Баунти

Bybit запустила программу Bounty Recovery.

Участники, успешно вернувшие средства, получат вознаграждение в размере 10% от суммы. В случае полного восстановления выплата может достичь $140 млн.

«Мы пережили один из самых сложных моментов в истории криптоиндустрии и доказали, что стоим выше злоумышленников», — написал глава биржи Бен Чжоу.

Arkham уже выплатила 50 000 ARKM (примерно $34 000) исследователю ZachXBT за установление связи между группировкой Lazarus и произошедшей в пятницу атакой.

Команда mETH Protocol сообщила, что заблокировала вывод 15 000 cmETH (~$43,5 млн) и перенаправила активы с адреса злоумышленника на восстановительный счет. 

Глава Tether Паоло Ардоино заявил, что компания заморозила $181 000 USDT, связанных с атакой.

Согласно официальному заявлению Bybit, инцидент произошел при переводе ETH из холодного мультисиг-хранилища на горячий кошелек.

Злоумышленники подменили интерфейс подписания транзакции так, что все участники процедуры видели корректный адрес. При этом логика смарт-контракта была изменена, а хакеры получили контроль над ETH-кошельком и вывели все средства на неидентифицированный кошелек.

Напомним, по данным Chainalysis, ущерб от криптомошенничества в 2024 году составил как минимум $9,9 млрд.