Rekordowa kradzież kryptowalut o wartości 1,5 mld USD – co już wiemy?

„Do incydentu doszło, gdy nasz zimny portfel (cold wallet) multisig ETH wykonał przelew do naszego ciepłego portfela (hot wallet). Niestety transakcja ta została zmanipulowana za pomocą wyrafinowanego ataku, który zamaskował interfejs podpisywania, wyświetlając prawidłowy adres, a jednocześnie zmieniając podstawową logikę inteligentnego kontraktu” – oświadczył Bybit w poście na X.

W rezultacie atakujący był w stanie przejąć kontrolę nad dotkniętym zimnym portfelem ETH i przenieść zasoby pod niezidentyfikowany adres.

Zimny portfel to w slangu kryptowalutowym portfel, który nie musi być podłączony do Internetu czy jakiejkolwiek innej sieci, aby podtrzymać swój stan. Jest więc bezpieczniejszy. Ciepły portfel to z kolei portfel online, zabezpieczony hasłem (kluczem), jak konto internetowe.

W oddzielnym oświadczeniu dyrektor generalny Bybit Ben Zhou podkreślił, że wszystkie inne zimne portfele giełdy z aktywami użytkowników są bezpieczne. Firma poinformowała również o zgłoszeniu sprawy odpowiednim organom.

Choć Bybit nie wydał jeszcze oficjalnego potwierdzenia, Elliptic i Arkham Intelligence potwierdziły, że kradzież cyfrowa jest dziełem niesławnej grupy Lazarus. Incydent ten jest  największą jak dotąd zgłoszoną kradzieżą kryptowalut w historii, przyćmiewającą Ronin Network (624 mln USD), Poly Network (611 mln USD) i BNB Bridge (586 mln USD).

Organizacja przestępcza Lazarus z siedzibą w Korei Północnej jest jedną z najbardziej produktywnych grup hakerskich, odpowiadającą za dziesiątki napadów na kryptowaluty w celu generowania nielegalnych dochodów dla kraju objętego sankcjami. W zeszłym roku Google opisało Koreę Północną jako „niewątpliwie wiodące na świecie przedsiębiorstwo cyberprzestępcze”. Szacuje się, że w 2024 r. powiązani z Koreą przestępcy ukradli 1,34 mld USD w 47 atakach hakerskich na krypto, co stanowi 61% wszystkich nielegalnie zdobytych kryptowalut w tym okresie – dane pochodzą od firmy wywiadowczej Chainalysis, zajmującej się blockchainem.

W najnowszej aktualizacji Bybit poinformował o wykryciu nieautoryzowanej aktywności w jednym z portfeli Ethereum (ETH) Cold Wallet podczas zaplanowanego rutynowego procesu transferu 21 lutego 2025 r., około 12:30 UTC. Niestety transakcja została zmanipulowana przez wyrafinowany atak, który zmienił logikę inteligentnego kontraktu i zamaskował interfejs podpisywania, umożliwiając atakującemu przejęcie kontroli nad portfelem ETH Cold Wallet. W rezultacie ponad 400 000 ETH i stETH o wartości ponad 1,5 miliarda dolarów (na dzień 21 lutego) zostało przetransferowane na niezidentyfikowany adres atakujących.

CEO ByBit oświadczył również, że jeśli nie uda się odzyskać skradzionego ETH, to całość zostanie zwrócona właścicielom portfela jako rekompensata. Podobno wszystkie aktywa użytkowników giełdy mają pokrycie 1:1 w rezerwach ByBit i będą zwracane, jeśli zostaną skradzione w wyniku ataku lub błędu giełdy.

Na informacje o kradzieży zagregował rynek kryptowalut. Akcje Etherum spadły o prawie 5% w dniu pierwszej informacji o kradzieży.

Podsumowanie

Opisywany atak to pierwsze tego typu wydarzenie w bezpieczeństwie kryptowalut – atakujący ominęli zimny portfel multisig bez wykorzystywania żadnej luki w zabezpieczeniach inteligentnych kontraktów. Zamiast tego wykorzystane zostało zaufanie i oszustwo wyświetlanego interfejsu. Czego powinna nauczyć nas ta sytuacja?

• Multisigi nie są już gwarancją bezpieczeństwa, jeśli podpisujący mogą zostać naruszeni.
• Zimne portfele nie są automatycznie bezpieczne, jeśli atakujący może manipulować tym, co widzi podpisujący.
• Ataki manipulacji łańcuchem dostaw i UI stają się coraz bardziej wyrafinowane.

Udany atak hakerski na Bybit zniszczył długo utrzymywane założenia dotyczące bezpieczeństwa kryptowalut.

Nawet przy szczelnych zabezpieczeniach technicznych błąd ludzki pozostaje największą podatnością. Ten atak pokazał, w jaki sposób taktyki takie jak manipulacja UI i inżynieria społeczna mogą narazić nawet najbezpieczniejsze portfele.

Bezpieczeństwo kryptowalut musi ewoluować poza zwykłe zaufanie kryptograficzne – powinno uwzględniać ludzkie podatności, zaawansowane zagrożenia malware i ataki manipulacji UI. Branża będzie zmuszona do analizy sposobów weryfikacji transakcji i zastanowienia się, w jaki sposób wielowarstwowe, niezależne procesy weryfikacji mogą zapobiegać tego typu katastrofalnym naruszeniom w przyszłości.