Что будет дальше со взломанной криптобиржей Bybit

Можно сразу успокоить держателей криптовалюты, особенно если они были клиентами Bybit, - вся похищенная сумма принадлежала самой бирже и ее клиенты не пострадали. Более того, через три дня после взлома биржа полностью восстановила украденные средства.

"Мы пережили мрачный момент в истории криптовалют, но доказали, что мы лучше злоумышленников", - заявил генеральный директор биржи Бен Чжоу.

Хакеры, предположительно из группировки Lazarus, похитили 0,42% всей криптовалюты Ethereum - это даже больше, чем у создателя Ethereum Виталика Бутерина. Если согласиться с основной версией экспертов, что за атакой стоит Lazarus, то, скорее всего, взлом происходил при помощи вредоносных программ и методов социальной инженерии. Эта группа печально известна десятками успешных атак как на традиционные банки, так и на криптобиржи. Атаки группировки обычно хорошо спланированы и подготовлены.

Все подробности инцидента еще не раскрыты, однако предварительный анализ специалисты уже провели. Злоумышленники смогли получить доступ к компьютерам нескольких сотрудников биржи, ответственных за управление так называемым холодным кошельком - устройством Ledger. Доступ к нему имели шесть человек, и для осуществления транзакции необходимо подтверждение большинства из них.

"Атакующие виртуозно подделали интерфейс работы с устройством, так что отображаемый адрес получателя соответствовал настоящему адресу горячего кошелька - на который каждый день проводились транзакции с Ledger для пополнения баланса биржи. Ответственные за одобрение транзакции, включая главу Bybit, не проверили реальный адрес, который отображался на устройстве, доверившись информации на экране, где им был показан поддельный интерфейс", - говорит главный технологический эксперт "Лаборатории Касперского" Александр Гостев. Помимо технических средств критическим, вероятнее всего, стал человеческий фактор. С помощью социальной инженерии злоумышленники могли скомпрометировать устройства сотрудников, более того, ежедневная рутинная операция по переводу из холодного на горячий кошелек привела к тому, что операторы не проверили важнейший компонент - информацию о транзакции на устройстве.

По словам Гостева, после одобрения от четырех "держателей ключей" хакеры получили права на модификацию кода приложения и внедрили в него уже свой адрес, на который и были переведены деньги. Затем украденные средства были распределены по более чем 50 кошелькам.

Все опрошенные "РГ" эксперты уверены, что значительная часть украденных денег надежно спрятана и вряд ли когда-нибудь будет найдена или заблокирована.

Главный аналитик Neomarkets Олег Калманович отмечает, что несмотря на прозрачность блокчеийна Ethereum, позволяющего отслеживать движение средств, полностью предотвратить "отмывание" украденных активов очень сложно. "Хакеры используют различные методы для запутывания следов, включая обмен средств через децентрализованные биржи (DEX) и перевод в другие криптовалюты. Эти действия затрудняют идентификацию конечных получателей и возврат похищенных средств", - рассказал "РГ" Калманович.

Специалисты департамента расследований высокотехнологичных преступлений компании F6 также считают, что шансы вернуть деньги и идентифицировать укравших криптовалюту киберпреступников невысоки. "Злоумышленники распыляют всю сумму переводами по разным кошелькам, обменивают через криптобиржи, используют децентрализованные финансовые сервисы (DeFi), совершают операции обмена одного актива на другой без биржевого посредника (свопы). Часть средств не удается пометить, и после обмена она теряется. Кроме того, задержание преступников может быть невозможным, если они физически находятся в странах, где нет экстрадиции", - рассказали "РГ" в F6.