Сразу после взлома хакеры перевели средства на сотни кошельков
Вопрос кибербезопасности кошельков остро встал после крупнейшего в истории взлома криптовалютной биржи — со счетов ByBit 21 февраля украли Etherium более чем на $1 млрд.
О взломе одного из кошельков криптобиржи ByBit сообщили вечером в пятницу, 21 февраля. Затем информацию подтвердил глава площадки Бен Чжоу в своем аккаунте в соцсетях.
Он подтвердил атаку и объяснил, что злоумышленники использовали сложный метод подмены транзакции, который позволил им получить полный контроль над активами.
В отличие от обычных взломов, где хакеры крадут пароли или взламывают серверы, в данном случае атака была направлена на процесс подтверждения транзакций внутри самой системы Bybit. На криптовалютных биржах крупные суммы обычно хранятся на мультиподписных кошельках — это значит, что для перевода средств нужно подтверждение сразу нескольких ответственных лиц, которые «подписывают» транзакцию с помощью своих ключей.
Хакеры сумели подменить интерфейс, который подписанты видели перед подтверждением. На экране отображался правильный адрес получателя и привычный интерфейс системы безопасности сервиса Safe (ранее Gnosis Safe), но на самом деле подпись не просто подтверждала перевод, а давала хакерам полный контроль над кошельком.
Как только злоумышленники получили контроль, они перевели средства на неустановленный адрес и начали распределять их по сети. По данным ончейн‑аналитиков, украденные активы уже начали перемещаться: более 20 кошельков получили переводы. Хакеры начали переводить украденные средства, включая обмен производных токенов на Ethereum и распределение активов по десяткам адресов, чтобы усложнить их отслеживание.
Bybit заявила, что остальные холодные кошельки не пострадали, а вывод средств работает в обычном режиме. Биржа заверила, что активы клиентов полностью обеспечены один к одному, и, даже если вернуть украденные средства не удастся, убытки будут покрыты за счет платформы.