ФБР вышли на след предводителя хакерской группировки Lazarus

Криптовалютные биржи уже много лет являются мишенью для хакеров и киберпреступников. Недавний взлом биржи Bybit стал ярким примером, привлекшим внимание как инвесторов, так и специалистов по кибербезопасности. В данной статье мы разберем подробности этого инцидента, его последствия, а также возможные меры, которые помогут избежать подобных атак в будущем.

Криптовалютная платформа из Дубая сообщила, что злоумышленник получил контроль над кошельком Ethereum, одной из самых популярных цифровых валют после биткоина, и перевёл его содержимое на неизвестный адрес.

Компания Bybit заявила, что взлом произошёл, когда компания выполняла обычную транзакцию по переводу Ethereum с «холодного» офлайн-кошелька на «горячий» кошелёк, который используется для ежедневных торгов. Злоумышленник воспользовался средствами защиты и смог перевести активы. Чжоу сказал, что все остальные кошельки на бирже не пострадали.

Компания Bybit сразу же попыталась заверить своих клиентов, что их криптовалютные активы в безопасности, а её генеральный директор заявил в социальных сетях, что Bybit вернёт деньги всем пострадавшим, даже если украденная валюта не будет возвращена.

«Bybit платёжеспособен, даже если ущерб от взлома не будет возмещён, все активы клиентов застрахованы в соотношении 1 к 1, мы можем покрыть ущерб», — написал Бен Чжоу, соучредитель и генеральный директор Bybit.

Цена Ethereum упала почти на 4% после новостей о взломе в пятницу, но с тех пор почти вернулась к прежним показателям.

Компания обратилась к «самым выдающимся умам в области кибербезопасности и криптоаналитики» с просьбой помочь ей вернуть украденные средства и предлагает вознаграждение в размере 10% от возвращённой суммы, которая может составить 140 млн долларов, если вся украденная сумма будет возвращена.

«Bybit полон решимости преодолеть трудности и коренным образом изменить нашу инфраструктуру безопасности, повысить ликвидность и стать надёжным партнёром для наших друзей в криптосообществе», — говорится в заявлении Чжоу.

Исследователь блокчейна ZachXBT и компания Arkham, занимающаяся крипторазведкой, отследили украденные средства, обнаружив закономерности, схожие с предыдущими атаками Lazarus Group. Пресловутый хакерский коллектив, предположительно действующий по указанию Северной Кореи, был ответственен за несколько громких краж криптовалют и, как утверждается, использовал украденные активы для финансирования ядерной программы Пхеньяна.

История атак Lazarus Group на криптовалютные платформы началась в 2017 году, когда группа проникла на четыре южнокорейские биржи и украла биткоинов на 200 миллионов долларов. Пока правоохранительные органы и компании по отслеживанию криптовалют пытаются найти украденные активы, отраслевые эксперты предупреждают, что крупномасштабные кражи остаются основным риском.

«Мы пометили адреса вора в нашем программном обеспечении, чтобы предотвратить обналичивание этих средств через другие биржи», — написал Том Робинсон, главный научный сотрудник Elliptic, в электронном письме.

Он — северокорейский хакер, разыскиваемый ФБР, который является одним из ключевых участников киберпреступной сети Lazarus. Он обучался в Технологическом университете Ким Чхэка в Пхеньяне, работал в Chosun Expo — подставной компании, служившей прикрытием для группы. По данным следователей, именно он стоит за созданием вируса-вымогателя WannaCry, который поразил компьютеры в 150 странах.

Взлом Bybit стал ударом для криптоиндустрии, которая восстановилась в последние месяцы после возвращения Дональда Трампа в Белый дом и его обещаний сделать США «криптостолицей планеты» при более свободном регулировании.

Криптобиржа Bybit полностью восполнила запасы Ethereum (~444 870 ETH), которые украли хакеры в ходе атаки 21 февраля. Об это сообщил CEO платформы Бэн Чжоу.

Взломы криптобирж становятся все более распространенными, и инцидент с Bybit — очередное подтверждение необходимости усиления мер безопасности в этом сегменте. Для пользователей важно осознавать риски и соблюдать меры предосторожности, например, использовать надежные пароли и активировать многофакторную аутентификацию. Биржам же следует принимать все возможные меры для защиты средств пользователей и восстановления доверия после таких инцидентов.