Платформа ончейн-аналитики Arkham Intelligence сообщила, что северокорейская хакерская группировка Lazarus Group стоит за взломом Bybit на $1,5 млрд.

BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT

At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.

His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
— Arkham (@arkham) February 21, 2025

«Сегодня [21 февраля] в 19:09 UTC ончейн-аналитик ZachXBT предоставил неопровержимые доказательства причастности Lazarus Group к взлому Bybit. В его разборе содержится детальный анализ тестовых транзакций и связанных кошельков, использованных перед атакой, а также ряд графиков и временных меток. Эти данные переданы команде биржи для содействия расследованию», — заявили представители Arkham.

Основатель AML-сервиса BitOK и криптоинвестор Дмитрий Мачихин в комментарии для Cryptol отметил, что украденная криптовалюта активно выводится из сети Ethereum в другие блокчейны.

Сохраняйте спокойствие

В ходе специального лайвстрима CEO Bybit Бэн Чжоу сообщил, что биржа ведет переговоры с партнерами о привлечении кредита в ETH. Платформа остается платежеспособной, а средства необходимы для поддержания ликвидности Ethereum в кризисный период.

Основатель Binance Чанпэн Чжао предложил помощь Bybit в устранении последствий взлома и порекомендовал приостановить вывод средств в качестве меры предосторожности.

Глава отдела продуктов Coinbase Конор Гроган сообщил, что Binance и Bitget депонировали более 50 000 ETH на холодные кошельки Bybit.

Binance and Bitget just deposited 50k+ ETH directly into Bybit's cold wallets. Bitget's deposits are especially interesting; its 1/4 of all of the exchange's ETH! (that I can see)

Since they skipped a deposit address, these funds were coordinated directly by Bybit themselves pic.twitter.com/yimpcYpLx7
— Conor (@jconorgrogan) February 21, 2025

По данным журналиста Колина Ву, биржа MEXC перевела 12 652 stETH (примерно $33,75 млн) на холодный кошелек Bybit.

Китайские криптопредприниматели поддерживают ликвидность Bybit, активно переводя ETH на пострадавшую платформу. Соучредитель Huobi Ду Цзюнь внёс 10 000 ETH и пообещал не выводить их в течение месяца. Сооснователи Conflux и Mask Network также заявили, что депонировали эфир на холодные кошельки биржи.

Представители Bybit сообщили, что информация об инциденте передана в соответствующие органы. Также, благодаря сотрудничеству с провайдерами ончейн-аналитики, удалось выявить и изолировать связанные адреса, ограничив злоумышленникам возможность вывода ETH через легальные рынки.

CEO Bitget Грейси Чен заявила, что несмотря на значительные потери, они эквивалентны годовому доходу Bybit ($1,5 млрд). Она подчеркнула, что средства клиентов находятся в полной безопасности, поэтому причин для паники нет.

Чен также уточнила, что переданные активы принадлежат самой Bitget, а не её пользователям.

Чжоу сообщил, что в течение 10 часов после взлома Bybit зафиксировала рекордное количество заявок на вывод средств — более 350 000. Около 2100 запросов остаются в ожидании, при этом 99,994% операций уже завершены.

«Крупнейшее ограбление»

Гроган назвал взлом Bybit «крупнейшим ограблением в истории».

The NK hack of Bybit is the largest heist of all time, of any medium (Central Bank of Iraq Heist (was ~$1B)

Its ~10x in $ terms of the 2016 DAO hack (That was a much higher % of supply though, 15% versus <0.5%)

Expect we see some calls for an Ethereum fork here
— Conor (@jconorgrogan) February 21, 2025

По его мнению, инцидент может вновь поднять вопрос о необходимости хардфорков Ethereum.

Бывший CEO BitMEX Артур Хэйес заявил, что как инвестор с крупными запасами ETH, он поддержит решение сообщества в случае отката цепочки к более раннему состоянию — как это произошло после взлома The DAO в 2016 году.

.@VitalikButerin will you advocate to roll back the chain to help @Bybit_Official ?
— Arthur Hayes (@CryptoHayes) February 21, 2025

Что дальше?

Согласно анализу соучредителя Taproot Wizards Эрика Уолла, северокорейские хакеры, вероятно, конвертируют все токены ERC-20 в ETH, затем обменяют эфир на BTC, а после постепенно переведут биткоины в юани через азиатские биржи. Эти средства могут пойти на финансирование ядерной и ракетной программ КНДР.

If you want to understand what happens to funds after they’re stolen by North Korea/Lazarus Group, the Chainalysis 2022 report is great

Step 1: Swap any ERC20s (like stETH) into ETH

Step 2: Swap any ETH into BTC

Step 3: Cash out BTC to cash (Chinese Renminbi) using Asian… pic.twitter.com/cmxUEAHRZN
— Eric Wall | BIP-420 🐱 (@ercwl) February 21, 2025

Подобные схемы описаны в отчёте Chainalysis за 2022 год.

«Этот процесс может занять годы. Они не торопятся», — отметил Уолл.
Эксперт также подчеркнул, что украденные средства вряд ли удастся вернуть, учитывая, что за атакой стоит Lazarus Group.

ZachXBT сообщил, что Lazarus перевела 5000 ETH на новый адрес и начала отмывать средства через централизованный миксер eXch, а затем конвертировала их в биткоин через Chainflip.

Глава Bybit Бэн Чжоу выразил надежду, что кроссчейн-сервис поможет бирже заблокировать и предотвратить дальнейшие переводы активов в другие сети.

We are starting to see some funds being moved to https://t.co/O4AqIJo81z as bridge to convert to BTC: bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq

with below transactions:
0x4f5f7ba657bf518d383828183087978b452b99da6cde0c9b94739b8d72a8c5ef…
— Ben Zhou (@benbybit) February 22, 2025

В Chainflip заявили, что зафиксировали попытки злоумышленников вывести украденные с Bybit средства в биткоине через их платформу.

Чтобы противостоять этому, разработчики отключили часть фронтенд-сервисов, однако полностью остановить протокол, учитывая его децентрализованную структуру со 150 узлами, невозможно.

Исследователи Lookonchain выдвинули гипотезу, что атака на Bybit могла быть совершена теми же людьми, что и на биржу Phemex: