Kako se je zgodil vdor v Bybit: pojasnjena kršitev kriptovalut v višini 1,4 milijarde dolarjev

Februarja 2025 so napadalci izkoristili varnostne vrzeli v sistemu hladne denarnice Bybit in izvedli največji vdor v zgodovini kripto borz, pri čemer so ukradli 1,5 milijarde dolarjev v Ethereumu. Preiskave so razkrile, da so za napad odgovorni napadalci povezani s severnokorejsko skupino Lazarus, ki je uporabila sofisticirane tehnike za manipulacijo transakcij in pranje ukradenih sredstev.

Bybit je na vdor hitro reagiral, zagotovil nujno likvidnost in okrepil varnostne ukrepe, da bi ohranil stabilnost platforme in preprečil odhod uporabnikov. Vendar pa je ta incident povzročil 24-odstotni padec cene Ethereuma in potisnil Bitcoin pod 90.000 dolarjev, kar je okrepilo regulativne pritiske na kripto borze, še posebej glede varnostnih standardov.

Ko je prišlo do vdora, se je začelo kot vsak normalen dan v kontrolni sobi Bybita, vendar je nenaden prenos Ethereuma iz hladne denarnice sprožil opozorilo. V nekaj minutah so izginili milijoni dolarjev v kriptovalutah. Na koncu se je izkazalo, da je bilo več kot 1,5 milijarde dolarjev Ethereuma ukradenih v enem največjih ropov v zgodovini kriptovalut.

Ta vdor v Bybit je bil natančno načrtovan in je razkril kritične ranljivosti v najbolj zaščitenih trgovalnih platformah. Prevaranti so izkoristili šibkosti v procesih odobritve transakcij, logiki pametnih pogodb in infrastrukturi zunaj verige. Posledice so bile dramatične, saj so cene Bitcoina in Ethereuma padle, vlagatelji so postali panični, regulatorji pa so začeli ukrepati in krepiti varnostne standarde v industriji.

Preiskave so pokazale, da je napad izvoden s strani severnokorejske skupine Lazarus, ki je znana po svojih napadih na finančne institucije in druge ključne cilje. Ta dogodek odpira vprašanja o prihodnosti kripto varnosti in potrebnih ukrepih za zaščito uporabnikov v svetu decentraliziranih financ.

Napad na Bybit 2025

V letih pred vdori v Bybit februarja 2025 je industrija kriptovalut izkusila izrazit porast kibernetskih groženj. Samo v prvi polovici leta 2024 je število ukradenih sredstev zaradi napadov in izkoriščanj kriptovalut dvignilo za 100 % v primerjavi z enakim obdobjem leta 2023.

Centralizirane platforme, kot je Bybit, so postale glavna tarča kibernetskih napadov, saj na teh platformah hrani velika količina kriptovalut, kar povečuje potencialne dobičke za kriminalce.

Bybit je sprejel več varnostnih ukrepov za zaščito uporabniških sredstev

• Hladilnica: Velik del uporabniških sredstev je bil shranjen v hladnih denarnicah, ki so brez povezave in se štejejo za manj dovzetne za poskuse vdora.
• Denarnice z več podpisi: Bybit je uporabljal denarnice z več podpisi (multisig), ki zahtevajo več zasebnih ključev za avtorizacijo transakcij in s tem dodajajo dodatno raven varnosti pred nepooblaščenim dostopom.
• Redne varnostne revizije: Platforma je izvajala redne varnostne preglede, da bi pravočasno odkrila morebitne ranljivosti sistema.

Kljub tem previdnostnim ukrepom so hekerske skupine, kot je severnokorejska skupina Lazarus, okrepile svoje napade na borze kriptovalut, z naprednimi metodami infiltracije, ki so prešle tudi najbolj varne sisteme.

Kibernetski napadalci so se osredotočili na:

• Izkoriščanje ranljivosti v programski opremi ter storitvah tretjih oseb, povezanih z borzami, kar je povzročilo varnostne pomanjkljivosti.
• Ciljanje na osebje borze z lažnim predstavljanjem in drugimi goljufivimi praksami, da bi pridobili dostop do kritičnih sistemov.

Zaradi teh dejavnikov in drugih pomanjkljivosti je prišlo do vdora v Bybit, ki je povzročil brez primere kršitev varnosti.

Časovnica vdora v Bybit: 21. februarja 2025

Kako so napadalci izvedli napad?

Napadalci so izvedli skrbno zasnovan in napreden napad, ki je bil osredotočen na ranljivosti v infrastrukturi hladne denarnice Bybit. Postopek je vključeval štiri ključne korake:

• Vdor v zaščiten uporabniški vmesnik

Prvi korak je bil dostop do zaščitenega uporabniškega vmesnika, ki so ga verjetno pridobili z napadom na dobavno verigo ali socialnim inženiringom. Ko so imeli dostop, so vstavili zlonamerno JavaScript kodo, ki je omogočila spremembo odhodnih transakcij v realnem času.

• Manipulacija s pametnimi pogodbami

Ko so napadalci pridobili dostop do vmesnika, so vstopili v pametne pogodbe in spremenili podrobnosti transakcij, še preden so bile prikazane za podpis. V transakcije so skrito dodali ukaz „delegatecall“, ki je omogočil spreminjanje logike pametnih pogodb brez sprožitve varnostnih alarmov. Namesto da bi sredstva šla v predvideno vročo denarnico, so jih preusmerili v lastno denarnico napadalcev.

• Prevara pri podpisovanju transakcij

Uporabniški vmesnik, ki je bil viden varnostnim strokovnjakom Bybit, je prikazal navidezno legitimne transakcije, zaradi česar so se zdeli kot običajni prenosi. Vendar so napadalci manipulirali z vsemi ključnimi parametri in tako zagotovili, da se dejanska transakcija ni prepoznala. Ko je pooblaščeno osebje podpisalo transakcijo, so sredstva nevede prešla v roke napadalcev.

• Izvedba hitrih in nepooblaščenih prenosov

Ko so pridobili popoln nadzor nad hladno denarnico, so napadalci hitro izvedli več umikov, pri čemer so sredstva poslala na neznane naslove. Kljub strogim varnostnim ukrepom v verigi so napadalci uspeli izkoristiti ranljivosti v zunajverižnem okolju in izvedli uspešne prenose.

Prizadevanja Bybita za okrevanje po vdoru

Po velikem napadu, v katerem je bilo ukradenih 1,5 milijarde dolarjev, je Bybit hitro sprejel ukrepe za zaščito platforme, obnovo zaupanja uporabnikov ter kompenzacijo izgubljenih sredstev.

Varnostne ukrepe in zaščita pred nadaljnjimi vdori

Ob odkritju vdora je Bybit nemudoma izoliral ogroženo hladno denarnico in ustavil vse nepooblaščene transakcije. Varnostna ekipa je sprožila preiskavo, pri čemer so sodelovali z blockchain analitičnimi podjetji in organi pregona, da bi preučili celoten napad.

Da bi preprečili nadaljnje izkoriščanje ranljivosti, je podjetje skupaj z podjetjem Safe prenovilo sistem multisig denarnic in uvedlo strožje preverjanje za visoko vrednostne transakcije.

Obnova finančne stabilnosti in zagotavljanje solventnosti

Kljub velikim izgubam je Bybit svojim uporabnikom zagotovil, da so vsa sredstva v razmerju 1:1 zavarovana, kar je omogočilo nemoteno nadaljevanje dvigov.

Borza je v 72 urah zbrala 447.000 ETH, da bi obnovila sredstva, pri čemer je uporabila posojila in prispevke partnerjev, kot so Binance, Bitget in Galaxy Digital. Namesto nakupa ETH na odprtem trgu, da bi se izognili manipulaciji s cenami, so uporabili strateške injekcije sredstev, kar je omogočilo popolno obnovitev rezerv.

Komunikacija in preglednost z uporabniki

Izvršni direktor Ben Zhou je že 30 minut po odkritju vdora javno nagovoril uporabnike in organiziral vprašanja in odgovore v živo. Poleg tega so bile dnevno posredovane posodobitve o napredku pri izterjavi sredstev in izboljšavah varnosti. 24. februarja je bila zaključena popolna revizija dokazov o rezervah (PoR), ki je potrdila plačilno sposobnost Bybita.

Iskanje in izterjava ukradenih sredstev

Bybit je začel sodelovati z drugimi borzami, izdajatelji stabilnih kovancev in forenzičnimi ekipami za zamrznitev ukradenih sredstev ter sledenje poskusom pranja denarja. Za spodbujanje sodelovanja je bila uvedena nagrada za izterjavo sredstev, ki ponuja 10 % od zbranih sredstev, kar pomeni potencialno nagrado v višini 140 milijonov dolarjev.

Zaupanje in dolgoročni načrti za obnovo

Hitro ukrepanje, finančna stabilnost in transparentnost podjetja Bybit so preprečili množične umike in omogočili hitro obnovo zaupanja uporabnikov, s čimer je podjetje postavilo temelje za dolgoročno okrevanje.

Priznavanje vpletenosti skupine Lazarus

Preiskave so hitro razkrile, da je za napadom na Bybit stala severnokorejska hekerska skupina Lazarus. FBI je javno obtožil to skupino za izvedbo napada, ki je postal eden največjih ropov kriptovalut doslej. Analize so pokazale, da so ukradena sredstva prenesena v Bitcoin in druge kriptovalute ter razpršena po več blockchain naslovih.

Ta taktika je v skladu z metodami skupine Lazarus za zakrivanje izvora ukradenih sredstev in omogočanje njihovega pranja ter pretvorbe v fiat valuto.

Vpletenost skupine Lazarus v prejšnje kraje kriptovalut

Skupina Lazarus, znana tudi pod imenom TraderTraitor, je izjemno nevarna kibernetska skupina z dolgo zgodovino napadov na finančne institucije in kriptovalutne platforme. Njihove dejavnosti naj bi bile ključne za financiranje programov, povezanih z jedrskimi in raketnimi ambicijami Severne Koreje. Njihovi napadi vključujejo nekatere od največjih krajev v zgodovini kriptovalut.

Med najbolj znane incidente, ki jih pripisujejo tej skupini, spadajo:

• Vdor v omrežje Ronin leta 2022: Lazarus je izvedel napad na omrežje Ronin, ki podpira priljubljeno blockchain igro Axie Infinity. Ta napad je povzročil krajo več kot 620 milijonov dolarjev v kriptovalutah.
• Napad na most Horizon leta 2022: V tem napadu so člani skupine ukradli približno 100 milijonov dolarjev s pomočjo napadov na most med verigami, kar dokazuje njihovo sposobnost izkoriščanja ranljivosti v blockchain platformah, ki omogočajo prehode med različnimi verigami.
• Kršitev atomske denarnice leta 2023: Skupina Lazarus je bila tudi povezana z izjemno usklajenim napadom na Atomic Wallet, kjer so ukradli več kot 100 milijonov dolarjev s pomočjo naprednih tehnik za ogrožanje uporabniških sredstev in dostopa do denarnic.

Te operacije kažejo na izjemno sofisticiranost in organiziranost skupine Lazarus, ki se je v preteklosti že izkazala kot ena največjih groženj v svetu kriptovalut.

Učinki valov na zaupanje vlagateljev in stabilnost trga

Posledice vdora v Bybit februarja 2025 so imele dolgoročen vpliv na zaupanje vlagateljev, stabilnost trga ter regulatorni nadzor v industriji kriptovalut.

Sam obseg napada je močno omajal zaupanje v borze kriptovalut, kar je privedlo do opaznega zmanjšanja obsega trgovanja. Vlagatelji so začeli iskati varnejše ali bolj regulirane alternative. Kot je opozoril Forbes, bi takšen vdor lahko negativno vplival na zaupanje potrošnikov v kriptovalute, kar bi sprožilo vprašanja pri oblikovalcih politik, ki bi se lahko odločili za omejevanje uporabe digitalnih sredstev.

Ta incident je imel tudi vpliv na volatilnost trga, saj je Bitcoin padel za več kot 5 % in dosegel najnižjo vrednost v treh mesecih, prvič po novembru pa se je spustil pod 80.000 dolarjev. Reuters je ta padec deloma pripisal negotovosti, ki jo je povzročil vdor v Bybit. V odziv na to so regulatorji okrepili nadzor nad borzami kriptovalut in pozvali k sprejetju strožjih varnostnih ukrepov.

Po poročanju National Law Review je vdor sprožil ponovno razpravo o potrebi po poostritvi nadzora in uvajanju močnejših zaščitnih ukrepov v industriji. Ta dogodek je razkril neprijetno resnico – borze kriptovalut so še vedno izpostavljene prefinjenim napadom, dobro financiranim skupinam. Industrija bo morala še naprej vlagati v varnostne inovacije, proaktivno odkrivanje groženj in okrepiti globalno sodelovanje, da bi preprečila prihodnje kršitve takšnega obsega.

V ekosistemu, ki temelji na zaupanju in preglednosti, so bili vložki višji kot kdaj koli prej.