Инцидент безопасности Bybit: Сроки проведения мероприятий и часто задаваемые вопросы

Введение

21 февраля 2025 года на Bybit произошел крупный взлом одного из холодных кошельков Bybit Ethereum, что привело к убыткам почти в $1,5 млрд. Этот эксплойт привязан к Северокорейской Lazarus Group, поддерживаемой государством.

Сроки проведения мероприятий

13:30 UTC 21 февраля 2025 года — Bybit провела плановый перевод с одного из мультисигн-кошельков Ethereum на теплый кошелёк, сначала переведя сумму на 30 000 ETH.

14:13 UTC 21 февраля 2025 года — Хакеры использовали интерфейс холодного кошелька Safe multisig в рамках сложной фишинговой атаки, махинации за конкретную транзакцию, которая привела к изменению логики смарт-контрактов холодного кошелька ETH.

Это позволило хакерам перевести средства с скомпрометированного холодного кошелька, разделив их на 39 адресов.

Сколько было потеряно в результате взлома?

Взломан только один холодный кошелёк Bybit, что привело к потере $1,46 млрд:

• 401 347 ETH ($1,12 млрд)

• 90 375 stETH ($253,16 млн)

• 15 000 смETH ($44,13 млн)

• 8000 mETH ($23 млн)

15:44 UTC 21 февраля 2025 года — Соучредитель и CEO Bybit Бен Чжоу написал в Twitter о развивающейся ситуации, проинформировав сообщество о том, что хакеры «взяли контроль над конкретным холодным кошельком ETH» и заверили пользователей, что Bybit является ликвидным и может покрыть убытки, обеспечивая поддержку активов клиентов в соотношении 1:1.

16:07 UTC 21 февраля 2015 года — Бен в своем X посте подчеркнул, что «Bybit является ликвидным, даже если этот убыток не будет восстановлен, все активы клиентов обеспечены в соотношении 1 к 1, и мы можем покрыть убыток».

17:15 UTC 21 февраля 2025 г. — CEO Bybit Бен Чжоу поступил в прямом эфире, чтобы объяснить ситуацию затронутым пользователям.

Как произошла взлом?

В результате фишинговой атаки на холодных подписантов кошелька Ethereum транзакции и безопасный интерфейс пользователя были поддельными, что позволило хакеру изменить логику смарт-контракта кошелька. Это позволило хакеру получить контроль над холодным кошельком Bybit и перевести средства. Наша команда по-прежнему изучает, как хакер смог подделать холодный кошелёк, и вскоре опубликует полный постсмертный отчёт.

Не планируется покупать ETH

Соучредитель и CEO Bybit Бен Чжоу заявил в прямом эфире, что в настоящее время не планируется покупать ETH. Тем не менее, он подчеркнул, что в этот важный период компания активно ищет помощь и использует мостовые займы от партнёров для борьбы с ограничениями ликвидности.

Другие холодные кошельки безопасны

Бен пояснил, что биткоин остается основным резервным активом и что другие холодные кошельки остаются неизменными.

Выводы как обычно

Бен заверил пользователей, что все продукты и услуги работают как обычно. Выводы не были остановлены и продолжают обрабатываться в обычном режиме.

Обычные P2P-услуги

В прямом эфире руководитель отдела деривативных и институциональных услуг Bybit Шунит Ян подтвердил, что P2P-сервисы платформы работают нормально.

21 февраля 2025 г., 19:09 UTC — ZachXBT предоставил окончательное доказательство связи атаки с Lazarus Group, северокорейской киберпреступной организацией, получив награды от Arkham Intelligence. Его анализ включает тестовые транзакции, подключенные кошельки, криминалистические графики и детали времени. По данным ZachXBT, кластер адресов также связан с взломом Phemex и BingX.

20:09 UTC 21 февраля 2025 года — Bitget внес депозит на сумму 40 000 ETH, демонстрируя мощную поддержку, продемонстрированную отраслевыми партнёрами и коллегами.

21 февраля 2025 г., 21:07 UTC — Bybit сообщила об этом случае в соответствующие органы власти и сообщит об этом, как только появится дополнительная информация. Она активно сотрудничала с поставщиками ончейн-аналитики для выявления и демиксирования связанных адресов.

22 февраля 2025 года, 00:54 UTC — Бен объявил, что 99,994% из более 350 000 запросов на вывод средств были обработаны через 10 часов после взлома, а команда Bybit работает круглосуточно, чтобы обеспечить бесперебойную работу и проблемы клиентов.

01:08 UTC 22 февраля 2025 г. — Safe подтвердил, что кодбаза и злонамеренные зависимости не были скомпрометированы, и другие безопасные адреса не были затронуты. После инцидента Safe временно приостановил работу кошелька для проведения тщательной проверки сервиса.

01:21 UTC 22 февраля 2025 года — Хакен заявил, что взлом Bybit был значительным и сильно поразил отрасль. Однако резервы Bybit по-прежнему превышают свои обязательства, а средства пользователей остаются полностью обеспеченными.

22 февраля 2025 г., 02:51 UTC — Бен написал в Twitter, что все выводы были обработаны и возобновили обычную работу, менее чем через 12 часов после инцидента с взломом на $1,4 миллиарда — крупнейшего в отрасли.

07:29 UTC 22 февраля 2025 года — Согласно последним данным мониторинга от SoSoValue и ончейн-команды безопасности TenArmor, за последние 12 часов на платформу Bybit поступило более $4 млрд средств. Сравнительный анализ притока средств показывает, что этот приток капитала полностью покрыл недостачу, вызванную вчерашним взломом.

22 февраля 2025 г., 08:52 UTC — Chainflip ответила X, заявив, что хотя они приложили все усилия, чтобы помочь, как децентрализованный протокол, они не могут полностью блокировать, заморозить или перенаправить какие-либо средства.

22 февраля 2022 г., 11:00 UTC — Бен и Шуниет получили AMA на китайском языке с ETHPanda, блокчейном Wu, Грейси Чен и другими участниками, чтобы обсудить инцидент взлома и поделиться своими идеями о том, как им управлять.

13:15 UTC 22 февраля 2025 года — CEO Tether Паоло Ардоино объявил, что Tether заморозил $181 000 USDT, связанный с взломом.

13:45 UTC 22 февраля 2025 г. — Bybit обработала вывод средств на сумму около $4 млрд после всплеска после использования. Хакен подтвердил, что пользовательские средства Bybit остаются полностью обеспеченными, а резервы по-прежнему превышают обязательства.

15:32 UTC 22 февраля 2025 года — Bybit запускает Программу вознаграждений за восстановление с вознаграждением в размере 10% от украденных средств. Чтобы принять участие, свяжитесь с Bybit по адресу bounty_program@bybit.com

22 февраля 2025 г., 16:01 UTC — Бен участвовал в AMA с мэрией криптовалют, рассказав о том, как он справился с ситуацией после взлома, о поддержке отрасли, которую Bybit получила от таких коллег, как Bitget, Binance, и о том, как команда Bybit упорно работала над кризисом. Бен также заявил, что откат Ethereum должен быть решением сообщества, возможно, голосованием, а не индивидуальным выбором.

04:32 UTC 23 февраля 2025 года — Бен подчеркнул, что проблема выходит за рамки Bybit или любой отдельной организации,

«Дело в подходе нашей отрасли к хакерам». Он призвал @eXch пересмотреть и помочь блокировать отток средств.

08:55 UTC 23 февраля 2025 года — Bybit объявила, что все депозиты и выводы возобновились до нормальных уровней.

15:41 UTC 23 февраля 2025 г. — $42,89 млн использованных средств были заморожены благодаря скоординированным усилиям таких отраслевых партнёров, как Tether, Thorchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget и Circle. Кроме того, протокол mETH восстановил 15 000 смETH-токенов стоимостью почти $43 миллиона.

02:35 UTC 24 февраля 2025 года — через 2 дня после взлома Bybit получила $1,23 млрд в ETH

через мостовые займы, китовские депозиты и внебиржевые покупки, эффективно покрывая дефицит ETH от эксплойта.

24 февраля 2025 г., 09:12 UTC — Hacken, независимая фирма по обеспечению безопасности блокчейна, опубликовала обновленный отчёт о подтверждении резервов (PoR). Bybit полностью закрыла разрыв ETH в активах клиентов в течение 72 часов благодаря стратегическим партнёрствам с Galaxy Digital, FalconX, Wintermute и другими организациями, а также поддержке Bitget, MEXC и DWF Labs. Ключевые активы, такие как BTC, ETH, SOL, USDT и USDC, превышают 100% коэффициенты обеспечения. Полный отчёт можно прочитать по ссылке: https://www.bybit.com/app/user/audit-report

25 февраля 2025 года, 14:40 UTC — Бен Чжоу, CEO Bybit, объявил о запуске программы LazarusBounty — первой в отрасли платформы вознаграждений, которая специально направлена на восстановление средств, предположительно украденных Лазарусной группой, поддерживаемой государством Северной Кореи в эксплойте Bybit.

15:17 UTC 26 февраля 2025 года — Бен Чжоу, CEO Bybit, поделился предварительными отчетами о взломе, проведенном Sygnia Labs и Verichains. Оба сообщения предполагают, что основная причина взлома была связана с вредоносным кодом JavaScript на платформе Safe{Wallet}, и в инфраструктуре Bybit не было обнаружено никаких уязвимостей. Для получения дополнительной информации загрузите отчёты по этой ссылке.

13:25 UTC 28 февраля 2025 года — Бен объявил об обновлении V1.1 платформы LazarusBounty, на которой был добавлен анализ адресов кроссчейнов, канал Discord, баланс кошелька для адресов хакеров и проверен рейтинг охотников за наградами.

#LearnWithBybit