По данным блокчейн-аналитика ZachXBT, северокорейская хакерская группировка Lazarus Group причастна не только к взлому Bybit на $1,4 млрд, но и к атаке на Phemex в январе, в результате которой было похищено $29 млн.

Как связаны эти атаки?

21 февраля произошёл крупнейший взлом в истории крипты — с Bybit было украдено более $1,4 млрд в liquid-staked Ether (stETH), Mantle Staked ETH (mETH) и других ERC-20 токенах.

Аналитики Arkham Intelligence и ZachXBT проанализировали движения средств и пришли к выводу, что за этим стоит Lazarus Group. Более того, ончейн-данные показывают, что одни и те же кошельки, связанные с группировкой, участвовали во взломе Phemex в январе.

«Lazarus Group только что связали взлом Bybit с атакой на Phemex, объединив средства из обоих инцидентов в одном адресе», – написал ZachXBT 22 февраля.

Что произошло с деньгами?

После атаки на Phemex хакеры вывели $29 млн через 125 отдельных транзакций на 11 разных блокчейнах. Затем эти средства начали конвертировать в Ethereum (ETH) через миксер Tornado Cash, что сделало их отслеживание практически невозможным.

Хак Bybit также стал крупнейшей частью общего ущерба от криптовзломов в 2024 году, который уже превысил $2,3 млрд.

Как взломали Bybit?

По словам Meir Dolev, сооснователя компании Cyvers, атака была схожа с взломами WazirX ($230 млн) и Radiant Capital ($58 млн). Основная уязвимость была в мультисиг-холодном кошельке Ethereum:

  1. Хакеры отправили обманную транзакцию, в которой скрыто изменили логику работы смарт-контракта.
  2. Подписанты мультисиг-кошелька одобрили эту транзакцию, не подозревая о подмене.
  3. В результате хакеры получили полный контроль над холодным кошельком и вывели все ETH на неизвестные адреса.
«Похоже, что мультисиг-кошелёк ETH на Bybit был взломан через обманную транзакцию, которая заставила подписантов одобрить вредоносное изменение в смарт-контракте», – пояснил Dolev.

Lazarus Group и крупнейшие криптовзломы

Группировка Lazarus Group известна как одна из самых опасных хакерских организаций, спонсируемых Северной Кореей. На её счету:

  • Взлом Ronin Network на $600 млн
  • Атака на WazirX на $230 млн
  • 47 крупных атак в 2024 году, в которых похищено более $1,34 млрд (рост на 102% по сравнению с 2023 годом)

По данным Chainalysis, Северная Корея усилила свою активность в криптовзломах, используя децентрализованные миксеры, мультичейн-транзакции и ложные протоколы для сокрытия следов.

💰 Вывод: Lazarus Group остаётся главной угрозой для криптоиндустрии. Bybit стал новой жертвой в списке крупнейших атак, и если криптобиржи не повысят уровень безопасности, это точно не последняя атака такого масштаба.