Co dalej z 1,4 miliardem dolarów skradzionych w wyniku ataku hakerskiego na Bybit?

Znana giełda kryptowalut Bybit została zhakowana na ponad 1,4 miliarda dolarów w tym, co określane jest jako największy napad w historii branży, a eksperci sugerują, że skradzione fundusze prawdopodobnie zostaną wyprane za pośrednictwem mikserów i mostów międzyłańcuchowych.

Według niedawnego raportu firmy Elliptic, zajmującej się bezpieczeństwem Web3, znana północnokoreańska grupa hakerska Lazarus, którą uważa się za odpowiedzialną za atak, może zastosować swój standardowy schemat prania pieniędzy.

Obecnie hakerzy Bybit znajdują się w fazie, którą raport określił jako „warstwowanie”, drugim etapie procesu prania pieniędzy.

Na tym etapie grupa Lazarus próbuje ukryć pochodzenie środków, rozpraszając je na wiele portfeli, wykorzystując mosty międzyłańcuchowe do przenoszenia aktywów między blockchainami i wymieniając tokeny na zdecentralizowanych platformach, aby utrudnić śledzenie.

Poprzedziła to początkowa konwersja skradzionych tokenów na ETH, typowy pierwszy krok w ich strategii prania pieniędzy.

„Dzieje się tak, ponieważ tokeny mają emitentów, którzy w niektórych przypadkach mogą „zamrozić” portfele zawierające skradzione aktywa, podczas gdy nie ma centralnego podmiotu, który mógłby zamrozić Ether lub Bitcoin” – wyjaśniono w raporcie.

Następnie, w ciągu zaledwie dwóch godzin od ataku, skradzione środki zostały rozdzielone na 50 różnych portfeli, z których każdy zawierał około 10 000 ETH.

Firma Elliptic zauważyła, że napastnicy zaczęli systematycznie opróżniać te portfele, a ponad 10% skradzionych środków jest już w obiegu.

Eksperci uważają, że kolejnym prawdopodobnym krokiem będzie przekazanie części środków za pośrednictwem mikserów kryptowalut, takich jak Tornado Cash.

Grupa Lazarus jest znana z wykorzystywania Tornado Cash, a platforma w przeszłości spotykała się z ostrą krytyką za ułatwianie prania kryptowalut przez Koreę Północną.

Firma Elliptic oskarżyła również giełda kryptowalut eXch o odegranie znaczącej roli w procesie prania pieniędzy, dodając, że napastnicy wykorzystywali ją do konwersji skradzionego Etheru na Bitcoiny.

W raporcie stwierdzono, że eXch „stał się głównym i chętnym pośrednikiem w tym procederze prania pieniędzy”, dodając, że platforma odmówiła nawet zablokowania tych transakcji pomimo bezpośrednich próśb ze strony ByBit.

Giełda zaprzeczyła tym zarzutom w poincydentalnym komunikacie.

Pomimo tych wysiłków, eksperci z Elliptic uważają, że pranie tak ogromnej sumy pieniędzy nie będzie dla hakerów łatwe.

Ogromna ilość skradzionych aktywów zwiększa ryzyko wykrycia, ponieważ duże transakcje częściej wywołują alarmy na giełdach i w systemach monitorowania blockchain.

Hakerstwo ByBit o wartości 1,4 miliarda dolarów

21 lutego napastnicy wykorzystali lukę w wielopodpisowym portfelu Ethereum ByBit podczas rutynowego transferu do portfela gorącego giełdy.

Napastnicy zmanipulowali interfejs podpisywania, wyświetlając poprawny adres portfela, jednocześnie zmieniając logikę bazowego inteligentnego kontraktu.

Z giełdy wyprowadzono aktywa o wartości ponad 1,4 miliarda dolarów, w tym m.in. Mantle Staked ETH (mETH) i inne tokeny ERC-20.

Niezależny detektyw kryptowalutowy ZachXBT odkrył bezpośrednie powiązania w łańcuchu bloków między atakiem na Bybit a niedawnym naruszeniem bezpieczeństwa giełdy Phemex, podejrzewając, że oba ataki są dziełem grupy Lazarus.

W obu przypadkach wykorzystano ten sam adres początkowej kradzieży.

ByBit jednak wyjaśnił, że wszyscy użytkownicy dotknięci naruszeniem zostaną w pełni zrekompensowani i uruchomił program nagród o wartości 140 milionów dolarów dla ekspertów ds. cyberbezpieczeństwa i analityków blockchain, którzy pomogą w śledzeniu i odzyskiwaniu skradzionych aktywów.