Útočníci využili sofistikovanou metodu, při které zachytili plánovaný převod prostředků z tzv. cold walletu (offline úložiště kryptoměn) do hot walletu (online úložiště) burzy. Přesměrovali více než 400 000 tokenů ETH (Ethereum)a stETH na adresu, která je pod jejich kontrolou.
„V pátek 21. února 2025 zaznamenala burza Bybit během rutinního procesu převodu neoprávněnou aktivitu v jednom z našich Ethereum (ETH) cold walletů. Převod byl součástí plánovaného přesunu ETH z našeho ETH vícepodpisového cold walletu do našeho hot walletu,“ vysvětlil Bybit v páteční zprávě.
„Bohužel byla tato transakce manipulována sofistikovaným útokem. Ten pozměnil logiku kontraktu a maskoval podpisové rozhraní. To útočníkům umožnilo získat kontrolu nad ETH cold walletem. V důsledku toho bylo na neidentifikovanou adresu převedeno více než 400 000 ETH a stETH v hodnotě přesahující 1,5 miliardy dolarů.“
Mohlo by vás zajímat
Nový způsob útoku
Co dělá tento útok mimořádným, není jen jeho rozsah, ale i způsob provedení. Hackeři nevyužili zranitelnosti v kódu ani neprolomili infrastrukturu úložiště, jak je u podobných útoků běžné.
Útočníci místo toho manipulovali s uživatelským rozhraním zaměstnanců Bybitu, jejichž digitální podpisy byly potřebné k provedení převodu z cold walletu. Tyto cold wallety, známé také jako vícepodpisové trezory, jsou považovány za jakýsi standard zabezpečení kryptoměn. K přesunutí prostředků se vyžadují digitální podpisy dvou nebo více oprávněných osob. Je to podobné, jako bezpečnostní opatření před opálením jaderných zbraní.
Mohlo by vás zajímat
„Útok na Bybit otřásl dlouho zastávanými představami o bezpečnosti kryptoměn,“ uvedli bezpečnostní výzkumníci Dikla Barda, Roman Ziakin a Oded Vanunu. „Bez ohledu na to, jak silná je logika vašeho smart kontraktu nebo vícepodpisová ochrana, lidský prvek zůstává nejslabším článkem. Tento útok dokazuje, že manipulace s uživatelským rozhraním a sociální inženýrství mohou obejít i ty nejbezpečnější peněženky.“
Zdroj: Vygenerováno v Midjourney
Stopa vede do Severní Koreje
Podle vyšetřování výzkumníka kryptoměnových podvodů ZachXBT existují vazby mezi hackery Bybit a severokorejskou hackerskou skupinou Lazarus. Útočníci poslali ukradené prostředky na ethereovou adresu, která byla dříve použita při útocích na burzy Phemex, BingX a Poloniex.
„Při praní prostředků z hacku Bybit byla dnes na konsolidační adrese 0x15ec propojena i krádež Poloniex,“ uvedl ZachXBT. „To nyní ukazuje, že stejný subjekt je spojen se čtyřmi různými hacky (Bybit, Poloniex, Phemex, BingX).“
At this point is really not about bybit or any entity, it's about our general approach towards hackers as an industry, really hope that @eXch can reconsider and help us to block funds outflowing from them. We are also getting help from Interpool and international regulatory… https://t.co/wRzN925X9l
— Ben Zhou (@benbybit) February 23, 2025
Tato zjištění potvrdila i společnost pro blockchainovou analýzu TRM Labs, která s „vysokou jistotou“ určila, že za útokem na Bybit stojí severokorejští hackeři „na základě významných překryvů pozorovaných mezi adresami kontrolovanými hackery Bybit a těmi spojenými s předchozími severokorejskými krádežemi.“
Promyšlené praní špinavých peněz
Za účelem skrytí skutečného původu a zpomalení pokusů o sledování začali hackeři ihned po útoku ukradené prostředky převádět přes stovky kryptoměnových peněženek. Podle bezpečnostních expertů zcizenou měnu z útoku převedli do více než 920 blockchainových adres.
Jednou z hlavních technik praní ukradených kryptoměn bylo použití centralizovaného mixéru eXch a přemostění prostředků na Bitcoin prostřednictvím služby Chainflip. Tom Robinson, spoluzakladatel a hlavní vědecký pracovník společnosti Elliptic, uvedl: „Jedna konkrétní burza, eXch, zřejmě vědomě vyprala desítky milionů dolarů z ukradených aktiv, navzdory výzvám Bybit k zastavení.“
Mohlo by vás zajímat
Severokorejský program krádeží kryptoměn
Není žádným tajemstvím, že Severní Korea provozuje rozsáhlý program krádeží kryptoměn již dlouho. Z velké části slouží k financování programu výroby zbraní hromadného ničení. Podle informací od společnosti pro blockchainovou analýzu Chainalysis severokorejští hackeři ukradli jen v roce 2024 1,34 miliardy dolarů, a to v 47 kryptoměnových loupežích. Tím překonali svůj předchozí rekord 1,1 miliardy dolarů, který je z roku 2022.
Samotný Bybit mezitím ujistil svoje uživatele, že jeho služby zůstaly z velké části neovlivněny, navzdory masivní vlně 580 000 žádostí o výběr po zveřejnění incidentu. Burza od té doby obnovila své ETH rezervy a její generální ředitel uvedl, že Bybit je solventní, i kdyby ukradená aktiva nebyla plně obnovena.
Co to znamená pro budoucnost kryptoměnové bezpečnosti?
Tento útok poukazuje na zásadní zranitelnost i těch nejbezpečnějších kryptoměnových systémů, kterou tvoří lidský faktor. Bez ohledu na to, jak pokročilé jsou technické bezpečnostní mechanismy, sociální inženýrství a manipulace s uživatelským rozhraním mohou představovat nepřekonatelnou hrozbu.
Kryptoměnový průmysl nyní stojí před výzvou posílit obranné mechanismy nejen na technické úrovni, ale i na úrovni ochrany před lidským selháním, a to včetně segmentace interních sítí, implementace vícestupňových bezpečnostních kontrol a přípravy na podobné scénáře v budoucnosti.
Zdroj: Bleeding computer, X, CNN, Reuters
