21 lutego 2025 r. około godziny 12:30 UTC giełda Bybit wykryła "nieautoryzowaną aktywność", która dotyczyła jednego z portfeli z etherami. Jak teraz wiemy, platforma została okradziona z ETH i stETH o łącznej wartości ponad 1,5 mld USD. Co wydarzyło się jednak dokładnie?
Bybit zostało okradzione
Wiadomo, że wszystko stało się w czasie, gdy dokonywano rutynowego procesu transferu środków, które znajdowały się na
zimnym portfelu (cold wallet).
Transfer był częścią zaplanowanego przeniesienia ETH z naszego portfela "ETH Multisig Cold Wallet" do naszego gorącego portfela (hot wallet). Niestety transakcja została zmanipulowana przez wyrafinowany atak, który zmienił logikę inteligentnego kontraktu i zamaskował interfejs podpisywania, umożliwiając atakującemu przejęcie kontroli nad portfelem "ETH Cold Wallet". W rezultacie ponad 400 000 ETH i stETH o wartości ponad 1,5 miliarda USD zostało przetransferowanych na niezidentyfikowany adres
Giełda jednak uspokaja: wszystkie inne zimne portfele są bezpieczne, a środki klientów nie zostały przejęte. Proces wypłat nie został wstrzymany. Firma dodała jednak, że "obecna sytuacja doprowadziła do wzrostu liczby żądań wypłat", co "może skutkować opóźnieniami".
(...) zapewniamy, że wszystkie wypłaty są przetwarzane normalnie
- dodano w komunikacie dla klientów.
Dowiedzieliśmy się też, że "skarbiec" Bybit pozostaje zabezpieczony, więc sytuacja finansowa firmy nie jest zagrożona, tak samo jak - warto to jeszcze raz podkreślić - środki klientów. Jest też szansa na odzyskanie skradzionych aktywów, bo Bybit współpracuje już z ekspertami od cyberbezpieczeństwa, którzy mogą pomóc w prześledzeniu przepływów środków (o tym za chwilę).
Nasz zespół ds. bezpieczeństwa bada przyczynę źródłową, zwracając szczególną uwagę na potencjalną lukę w interfejsie użytkownika platformy Safe.global, która mogła zostać wykorzystana podczas procesu transakcji
- czytamy w dokumencie dalej.
Wiadomo już, kto ukradł środki?
Sprawą zainteresowała się platforma Arkham Intelligence i znany na rynku analityk blockchainów, ZachXBT. Ten ostatni ustalił, że pewne dowody świadczą o tym, że za atakiem za Bybit stoją hakerzy z Korei Północnej, słynna grupa Lazarus. Doszedł do takiego wniosku na podstawie ruchów w łańcuchu bloków - pewne dane łączą nowy atak z kradzieżą 85 mln USD w kryptowalutach, które należały do Phemex, giełdy kryptowalut z Singapuru.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of
Arkham@arkham
