ФБР подтвердило, что недавняя атака на криптовалютную биржу Bybit, в результате которой было похищено 1,5 миллиарда долларов, осуществлена северокорейскими хакерами.
Правоохранительные органы связывают данное нападение с группировкой TraderTraitor, также известной как «Lazarus» и «APT38».
В своем официальном заявлении ФБР призвало операторы RPC-узлов, криптобиржи, DeFi-сервисы и компании, занимающиеся блокчейн-аналитикой, блокировать транзакции с адресов, которые использовались для отмывания украденных средств.
ФБР указало, что Северная Корея несет ответственность за кражу активов с Bybit, совершенную 21 февраля 2025 года.
Участники TraderTraitor быстро конвертируют часть украденного в биткоин и другие криптоактивы, распределяя их по множеству адресов на разных блокчейнах.
Ожидается, что эти средства будут отмыты и конвертированы в фиатную валюту.
Правоохранительные органы также опубликовали 51 Ethereum-адрес, где хранится украденная криптовалюта.
Ранее о связи «Lazarus» с кражей сообщали эксперты из TRM Labs и Elliptic, а также блокчейн-аналитик ZachXBT, который отметил, что часть украденных средств была переведена на адрес, уже участвовавший в атаках на «Phemex», «BingX» и «Poloniex», связанный с группировкой «Lazarus».
На этой неделе Бен Чжоу, генеральный директор биржи Bybit, представил два отчета, подготовленных экспертами компаний Sygnia и Verichains, касающиеся недавнего инцидента.
Специалисты выяснили, что атака была направлена именно на Bybit и проводилась с использованием вредоносного JavaScript-кода, внедренного в платформу multisig-кошельков «Safe{Wallet}». Вредоносный код активировался при выполнении определенных условий, что позволило ему оставаться незамеченным для большинства пользователей, при этом нацеливаясь на важные цели.
По данным Verichains, расследование показало, что учетные записи AWS S3 или CloudFront/API-ключ «Safe.Global» могли быть скомпрометированы. Эксперты отметили, что через короткое время после запуска вредоносной транзакции в аккаунт «Safe{Wallet}» были загружены обновления JavaScript-ресурсов, из которых был удален вредоносный код.
Sygnia также сообщила о находке вредоносного JavaScript-кода, предназначенного для атаки на холодный multisig-кошелек Bybit, с помощью которого активы биржи были перенаправлены на кошелек злоумышленников. Примечательно, что этот код был отредактирован всего за два дня до атаки, однако дальнейшие исследования инфраструктуры Bybit после инцидента не выявили признаков компрометации.
Представители «Safe Ecosystem Foundation» подтвердили выводы аналитиков, указав на то, что атака была осуществлена через взлом компьютера одного из разработчиков «Safe{Wallet}», что дало злоумышленникам доступ к аккаунту, управляемому Bybit.
Криминалистический анализ атаки Lazarus подтвердил, что замаскированная вредоносная транзакция была реализована через компрометацию машины разработчика. Команда «Safe{Wallet}» заверяет, что инфраструктура была полностью перестроена и переосмыслена. Все учетные данные изменены для предотвращения возможных повторений этого вектора атаки в будущем.
