Федеральне бюро розслідувань США (ФБР) офіційно підтвердило, що злом криптобіржі Bybit, внаслідок якого було викрадено $1,5 млрд, має зв’язок із північнокорейським хакерським угрупованням Lazarus, відомим також під ім’ям TraderTraitor. ФБР класифікувало цей інцидент як кібератаку, спонсоровану державою, метою якої було відмивання активів через кілька блокчейн-платформ. Відомство закликало блокувати транзакції, пов’язані з діяльністю хакерів, щоб запобігти подальшому відмиванню коштів, вказавши відповідні адреси в документі.
Про це розповідає ProIT
Криптобіржа Bybit також оприлюднила результати власного розслідування. Згідно з інформацією, наданою компанією VeriChains, шкідливий код, який сприяв злому, було впроваджено 19 лютого 2025 року, а його активація сталася 21 лютого під час звичайної транзакції. Під час цієї операції кошти переказувалися з мультипідписного холодного гаманця Ethereum до гарячого гаманця, призначеного для щоденних торгових операцій.
Спосіб атаки та наслідки
На думку експертів, злом став можливим через скомпрометований обліковий запис або виток API-ключа постачальників інфраструктури Bybit, зокрема AWS S3 або CloudFront компанії Safe.Global. Ознаки шкідливого коду вдалося виявити завдяки інтернет-архіву Wayback Machine.
Внаслідок зламу криптобіржі, платформа THORChain отримала вигоду, адже хакери використали її для відмивання коштів. Обсяг транзакцій на THORChain зріс до $2,91 млрд, а протягом п’яти днів платформа заробила $3 млн у вигляді комісій за обробку транзакцій. Раніше, до початку відмивання вкрадених активів, середній щоденний обсяг транзакцій на THORChain становив близько $80 млн.
Захист протоколу THORChain
Інженер Nine Realms, відповідальний за розробку ядра THORChain, виступив на захист протоколу. Pluto (9R) визнав, що через платформу проходили незаконні кошти, однак підкреслив, що команда THORChain активно працювала над впровадженням сервісів для скринінгу транзакцій.
“Ми робимо все можливе, щоб боротьба з незаконними фінансовими потоками була ефективною”, — зазначив Pluto.
