Недавняя кража на криптобирже Bybit, в результате которой было вывезено свыше 400 тысяч ETH, или около 1,5 миллиарда долларов, стала одной из самых масштабных в истории криптовалют.
Эксперты в области информационной безопасности, идущие на помощь «Эксперту», выяснили, что главными причинами этого инцидента стали подмена адресатов и человеческая невнимательность.
21 февраля злоумышленники смогли получить доступ к криптокошельку биржи, что предоставило им возможность вывести огромную сумму денег.
В прошлом рекордным ограблением считалась кража почти 1 миллиарда долларов из Центрального банка Ирака.
Специалисты выяснили, что преступники, возможно, использовали портативные устройства Ledger, через которые несколько сотрудников биржи имели доступ к так называемому холодному кошельку.
Холодные кошельки хранят криптоактивы в офлайн-режиме, что делает их более защищёнными по сравнению с горячими. Однако именно такое уязвимое звено стало легче атаковать.
Холодные кошельки позволяют хранить значительные суммы, но доступ к ним имеет ограниченное число сотрудников.
В ходе атаки злоумышленники сумели подменить смарт-контракты и оформить их так, что они выглядели как рутинные операции, меняя адреса и URL на подлинные, что сбило с толку ответственных лиц и позволило провести транзакции.
Данный случай подчеркивает важность повышенной бдительности и надежных мер безопасности для защиты всех участников рынка.
Логика смарт-контракта изменилась, что привело к возможности для хакеров совершить перевод, объяснил генеральный директор STIT и эксперт рынка НТИ «Технет» Антон Аверьянов.
Генеральный директор биржи стал одним из тех, кто утвердил транзакцию. «Они доверились информации на экране, где был показан поддельный интерфейс», — подтвердил Александр Гостев из «Лаборатории Касперского».
После получения одобрения от четырех «держателей ключей» хакеры получили возможность модифицировать код приложения и внедрили свой адрес, на который было переведено более 400 тыс. ETH.
Украденные средства были распределены по более чем 50 кошелькам, начав процесс «отмывания» через криптомиксеры и обменники.
Для затруднения отслеживания злоумышленники использовали сложные схемы маршрутизации транзакций, что усложняло восстановление полной цепочки операций и определение начальной точки атаки, пояснил Илья Дружинин, глава отдела безопасности распределенных систем Positive Technologies.
После взлома Bybit предложила награду в размере $140 млн тому, кто поможет вернуть украденные средства. Несмотря на то что вернуть утраченные деньги не удалось, биржа смогла восстановить резервы похищенной криптовалюты Ethereum всего через 72 часа после инцидента, что подтвердили специалисты ведущей аудиторской компании в сфере криптовалют Hacken.
На 23 февраля Bybit имеет достаточно резервов для покрытия пользовательских активов.
Некоторые криптовалютные платформы, не использующие аппаратные модули безопасности (HSM) для подписания транзакций и ручные проверки крупных переводов, а также имеющие уязвимое программное обеспечение и непроверенные смарт-контракты, рискуют столкнуться с подобными атаками. Об этом утверждает Игорь Бедеров, директор департамента расследований T.Hunter и эксперт рынка НТИ «Сейфнет». Хакеры часто используют уязвимости в веб-интерфейсах, межсетевых мостах и смарт-контрактах при атаках на криптобиржи. Антон Аверьянов из STIT отмечает, что уязвимость на платформе Bybit была разработана специально для нее и вероятнее всего, это происходило на протяжении длительного времени. Новые атаки на другие биржи могут занять гораздо больше времени и ресурсов. Он также добавил, что Bybit, скорее всего, оповестила другие платформы о произошедшей атаке, что позволит им усилить свою безопасность, снижая вероятность повторения инцидента в ближайшем будущем. Специалисты, опрошенные «Экспертом», подчеркивают, что текущая угроза не касается личных кошельков пользователей, поскольку криптобиржа теряет только свои средства. Тем не менее, это может вызвать временные ограничения на вывод средств, падение курса ETH или ужесточение регуляции, что затронет всех участников рынка. Также есть опасность возникновения новых фишинговых атак, когда злоумышленники могут предлагать пользователям перевести деньги на «безопасные счета» во время широкой огласки инцидента.Александр Гостев из «Лаборатории Касперского» подчеркивает, что человеческий фактор стал критически важным для успешной атаки на криптовалютные кошельки.
С ежедневными рутинными операциями по переводу средств из «холодного» в «горячий» кошелек операторы упустили из виду важнейший компонент – информацию о транзакции. Это позволяет злоумышленникам использовать метод blind signing.
Такие атаки менее эффективны против обычных пользователей из-за длительной подготовки, однако пользователи могут столкнуться с вирусами, которые способны подменять адреса при переводах, или сами могут отправить средства на поддельные адреса.
Антон Аверьянов из STIT предупреждает, что в мире криптовалют необходимо многократно проверять информацию, так как безопасность зависит от самого пользователя.
Игорь Бедеров отмечает, что, хотя взлом был произведен с использованием физического криптокошелька, он все равно представляет собой более безопасный вариант хранения средств по сравнению с биржами.
Чтобы снизить риски, специалисты рекомендуют вручную проверять адреса получателей, активно использовать двухфакторную аутентификацию (2FA) и следить за уведомлениями от бирж об подозрительных действиях.
Гостев также акцентирует внимание на важности защиты аппаратных устройств, таких как компьютеры и телефоны, которые взаимодействуют с «холодными» кошельками.
