ФБР обвиняет северокорейских хакеров в рекордной краже $1,5 млрд Ethereum с Bybit: методы и последствия

Федеральное бюро расследований США обнародовало информацию о том, что обвиняет хакеров из Северной Кореи в краже криптовалюты Ethereum на сумму $1,5 миллиарда с платформы Bybit.

В данном ведомстве добавили, что хакеры использовали специальный набор инструментов, получивший условное название TraderTraitor.

В соответствии с материалами проекта TraderTraitor ФБР, это набор вредоносного программного обеспечения, маскирующегося под законные инструменты для торговли криптовалютой. Эти программы разрабатывались на основе легальных решений с открытым исходным кодом и были написаны на JavaScript с использованием Node.js и Electron, как сообщается в бюллетене ФБР от 18 апреля 2022 года (.pdf).

Данная программа используется группой хакеров, поддерживаемых северокорейскими властями, известных как Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Их действия фиксируются с 2020 года.

«Акторы TraderTraitor действуют стремительно, конвертируя часть украденных средств в биткойны и другие криптоактивы, разбросанные по тысячам адресов на разных блокчейнах. Ожидается, что эти средства будут дополнительно отмыты и в конечном итоге обменены на фиатные деньги», — пояснили в ФБР. Специалисты ведомства предоставили адреса, на которые были переведены украденные Ethereum, с просьбой к операторам заблокировать транзакции по ним.

21 февраля 2025 года хакеры осуществили атаку на криптобиржу Bybit, в результате чего похитили 70% активов Ethereum (400 тысяч ETH), что признал генеральный директор компании Бен Чжоу. Эксперты по информационной безопасности считают, что за взломом криптобиржи на $1,4 миллиарда стоит Lazarus Group по их мнению.

Сразу после кражи хакеры перераспределили средства на множество кошельков. Представители ByBit утверждают, что был скомпрометирован только один холодный кошелек, в то время как остальные остаются в безопасности.

По словам Чжоу, сотрудники биржи проводили стандартный перевод между «холодным» и «теплым» кошельками, и хакер смог получить доступ к кошельку через подмену интерфейса. Чжоу акцентировал внимание на том, что все остальные холодные кошельки биржи находятся под надежной защитой и работают в обычном режиме. Он также обратился к сообществу за помощью в поиске украденных средств.

Комментарий эксперта по информационной безопасности:

22 февраля Bybit объявила о премии в размере $140 миллионов за информацию, способствующую поимке хакеров или тех, кто организовал кражу $1,4 миллиарда. Примечательно, что обычно криптобиржа предлагает всего $4000 в рамках своей программы баг-баунти за нахождение критических уязвимостей в системе. Однако теперь компания решила выделить 10% от суммы украденных средств для вознаграждения специалистам по этической кибербезопасности, которые помогут вернуть похищенные криптовалюты в процессе расследования.

В пресс-релизе Bybit сказано, что биржа приглашает «выдающихся специалистов в области кибербезопасности и криптоаналитики» присоединиться к глобальной охоте за преступниками, совершившими крупнейшую кражу в истории криптовалют. «Вознаграждение в размере 10% от суммы, которую удастся вернуть, позволит участникам программы Recovery Bounty Program разделить потенциальные $140 миллионов, если удастся восстановить баланс кошельков биржи», — сказано в заявлении Bybit.