Хронология событий крупнейшего взлома в истории крипто мира: кража $1,4 млрд у Bybit

2025-02-21 в 14:16:11 (UTC) криптовалютная биржа Bybit столкнулась с крупной хакерской атакой. Злоумышленники получили доступ к одному из холодных кошельков платформы и вывели 401 346 ETH, а также 113 375,548 синтетических ETH (в их числе 15 000 cmETH, 90 375 stETH, 8 000 mETH) и 90 USDT. На момент кражи общий эквивалент украденных средств превышал 1,4 миллиарда долларов США.

Адрес биржи Bybit: 0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4

Адрес эксплойтера: 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2

Транзакции кражи:

Кол-во адресов злоумышленника на момент времени: 1

P.S. Злоумышленник не оставил даже те 90 USDT, что лежали на адресе. Как говорится, 90 долларов лишними не бывают 🙂

Bybit имеет различные типы кошельков, среди которых есть горячие, холодные кошельки для хранения средств. Периодически сотрудники Bybit выполняют перебалансировку средств между ними. 2025-02-21 сотрудники Bybit выполняли подобные действия. Но в результате с холодного кошелька Bybit были несанкционированно выведены все средства.

Этот адрес использует мультиподпись, что означает, что для выполнения транзакции требуется подпись нескольких ключей. В случае Bybit, в целях безопасности, ключи принадлежали разным людям. Управление кошельком осуществляется через интерфейс Safe.

Для успешного завершения транзакции на данном адресе требовалось подпись 3 из 6 подписантов. Инициировав обычную транзакцию по переводу средств с холодного кошелька, транзакцию подписали все трое участников в интерфейсе сайта и подтвердили каждый на своём устройстве.

Однако, в результате в сеть была отправлена другая транзакция, а не та, что была показана в интерфейсе сайта safe.global. Эта несанционироаванная транзакция позволила злоумышленникам получить контроль над холдоным кошельком.

Вероятно имела место визуальная подмена данных в веб интерфейсе при подписи транзакции.

2025-02-21 в 15:20 ZachXBT публикует в своем Telegram-канале информацию о подозрительных исходящих транзакциях на сумму $1,46 млрд+ с адресов, принадлежащих ByBit

Кол-во адресов злоумышленника на момент времени: 4

2025-02-21 15:44 (UTC) в своем посте на платформе Х СЕО Bybit Бен Чжоу сообщает о несанкционнированном переводе средств. Призывает аналитические команды помочь в отслеживании средств.

Кол-во адресов злоумышленника на момент времени: 4

2025-02-21 в 14:43 (UTC) злоумышленник начинает выводить токены USDT, mETH, stETH, cmETH на отдельный блокчейн-адрес и далее их меняет на ETH. Для обмена он использует DEX Uniswap, ParaSwap, Dodo.

Кол-во адресов злоумышленника на момент времени: 4

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-21 в 15:48 злоумышленник начинает распылять средства по множеству адресов

Кол-во адресов злоумышленника на момент времени: 44

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-21 в 17:15 На официальной странице Bybit в X опубликован [пост] с прямой трансляцией, в которой CEO Bybit Бен Джоу комментирует ситуацию.

Приветствие и введение:

Бен Чжоу начал трансляцию с объяснения текущей ситуации и поблагодарил зрителей за участие. Он рассказал, что ByBit переживает очень сложный момент после взлома кошелька Ethereum. Инцидент произошел примерно два часа назад. Бен сообщил, что намерен использовать эфир для предоставления обновлений и ответов на вопросы сообщества.

Как произошел инцидент:

- ByBit использует систему холодных кошельков и теплых кошельков для управления средствами. Когда баланс в горячем кошельке достигает определенной отметки, средства переводятся с холодного на теплый кошелек.

- В процессе обычного перевода с холодного на теплый кошелек была проведена стандартная транзакция с использованием технологии multisig (мультиподпись) через сервис Safe. Это безопасная система с множеством подписантов, требующая подписи нескольких человек для завершения транзакции.

- В момент подписания транзакции Бен, будучи последним подписантом, проверил правильность URL и адреса назначения на официальном сайте Safe. Он также использовал устройство Ledger для подписания транзакции.

- Через 30 минут после подписания транзакции Бен получил экстренный звонок, что кошелек был "опустошен", то есть средства были украдены.

Подробности о хакерской атаке:

- Хакеры сумели манипулировать интерфейсом подписания транзакции, возможно, взломав компьютеры всех подписантов или нарушив работу сервиса Safe. Хотя Бен уверен, что они использовали правильный URL и правильный адрес назначения, вероятно, злоумышленники изменили данные транзакции на уровне смарт-контракта.

- Бен подчеркнул, что для Ethereum используются смарт-контракты, которые могут быть подвержены манипуляциям. Эта уязвимость, в частности, была использована для взлома Ethereum-кошелька ByBit.

Размер ущерба:

- Примерно 401,000 ETH было украдено. Это касалось только Ethereum-кошелька, и это единственный кошелек, который был затронут.

- По словам Бена, ни один другой актив, такой как Bitcoin или USDT, не был затронут этим инцидентом. Кошельки, использующие другие токены, не пострадали.

- Несмотря на это, компания активно работает над устранением последствий инцидента и восстановлением утраченных средств.

Текущая ситуация с выводами средств:

- ByBit продолжает обрабатывать запросы на вывод средств, но количество запросов значительно возросло за последние несколько часов, что привело к задержкам.

- На текущий момент выводы средств остаются открытыми, но для некоторых крупных запросов требуется дополнительная проверка со стороны команды безопасности.

- Важно, что несмотря на высокую нагрузку, компания по-прежнему выплачивает средства, и в целом 70% запросов на вывод уже были обработаны.

Ответы на вопросы клиентов:

- Бен гарантировал, что средства клиентов в безопасности, так как ByBit придерживается принципа "1:1" по резервам.

- Бен отметил, что несмотря на кражу средств с кошелька Ethereum, компания имеет достаточно резервов для покрытия убытков из своей казны, если потребуется.

- Вопрос о возможной компенсации украденных средств: ByBit планирует обратиться к партнерам и использовать свой резервный фонд для покрытия потерь, если средства не удастся вернуть.

Обработка инцидента и меры безопасности:

- ByBit сотрудничает с командой безопасности и правоохранительными органами, чтобы восстановить украденные средства и выяснить подробности взлома.

- В данный момент идет расследование, и команда работает с внешними специалистами, чтобы отследить украденные средства и, возможно, вернуть их через централизованные биржи или другие каналы.

- Бен сообщил, что команда безопасности ByBit внимательно проверяет все другие кошельки, чтобы убедиться, что нет других уязвимостей. На данный момент только Ethereum-кошелек был взломан.

Шаги, предпринимаемые для восстановления:

- В ответ на проблему с ликвидностью Ethereum, ByBit договаривается с партнерами о предоставлении "bridge loan" (моста) — ссуды, которая поможет покрыть нехватку ликвидности и обеспечить возможность вывода средств.

- Бен подчеркнул, что на данный момент компания не покупает Ethereum на рынке, а полагается на помощь партнёров для покрытия ликвидности.

- В дополнение к этому, ByBit продолжает анализировать ситуацию с Safe и работает с их командой для выяснения всех подробностей инцидента.

Ответы на конкретные вопросы о восстановлении:

- Компания ожидает поступление bridge loan, чтобы покрыть этот дефицит и возобновить нормальный вывод средств.

- Проблемы с ликвидностью затронули только Ethereum-активы, и другие токены, такие как Bitcoin или USDT, не пострадали.

- Для крупных институциональных клиентов ByBit также приоритетно обрабатывает выводы средств, но этим клиентам необходимо подождать из-за необходимости вручную проверять транзакции.

Заключение:

- Несмотря на инцидент, Бен Чжоу выразил уверенность, что компания будет продолжать работать, и средства клиентов будут восстановлены. Он поблагодарил партнеров и клиентов за поддержку.

- ByBit продолжает расследовать инцидент, и вскоре будет предоставлена дополнительная информация.

- Компания планирует провести более тщательную проверку безопасности и улучшение процедур, чтобы предотвратить подобные инциденты в будущем.

Кол-во адресов злоумышленника на момент времени: 44

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-21 в 19:09 Arham [заявил], что ZachBTC предоставил Arham собранные доказательства, что за инцидентом стоит Lazarus Group. Данные переданы в Bybit.

Кол-во адресов злоумышленника на момент времени: 44

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-21 23:59 UTC По итогам первого дня [AMLcrypto.io] опубилковали разбор перемещений украденных активов через транзитные адреса, использование Uniswap, ParaSwap, Dodo.

🟣 - Aдрес биржи Bybit, подвергнутый взлому [13], адреса децентрализованных бирж [23-26]

⚫ - Aдреса экслойтера

Кол-во адресов злоумышленника на момент времени: 44

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-22 в 06:22:31 на форме Bitcointalk сотрудником Bybit [публикуется] скриншот переписки с представителем Bybit по данному инциденту. Приводится скриншот письма Bybit c просьбой к Exch об оказании содействия в данном инциденте, так как перемещение части средств на криптообменник exch

В ответ на сообщение Bybit exch обозначает проблему с которой ранее сталкивался, что средства его пользователей блокировались на бирже exch. Уточняется почему считает Bybit , что exch будет помогать?!

Кол-во адресов злоумышленника на момент времени: 44

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2022-02-22 07:04:11 (UTC) злоумышленник перевел средства на депозитные адреса сервиса ChainFlip. В соответствии с данными эксплорера сервиса, средства были направлены на адрес bc1qlu4a33zjspefa3tnq566xszcr0fvwz­05ewhqfq в сети Bitcoin.

Chainflip — это децентрализованный кросс-чейн протокол, который позволяет пользователям обменивать нативные криптоактивы между разными блокчейнами (например, Bitcoin, Ethereum, Solana) без обернутых токенов и централизованных посредников.

Источник данных на скриншоте 1: https://scan.chainflip.io/swaps

Обозначений на графе транзакций (скриншот 2):

🟣 - Aдрес биржи Bybit, подвергнутый взлому [1], адреса Chainflip [7-10]

⚫ - Aдреса экслойтера в сети Ethereum [2-6], адреса эксплойтера в сети Bitcoin [11-15]

Кол-во адресов злоумышленника на момент времени: 58

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-22 в 15:10 UTC Arham сообщил, что обнаружил связь между блокчейн-адресами, использованными при взломах ByBit и Phemex, что может указывать на причастность одного и того же хакера к обоим инцидентам.

Таким образом, подтверждается версия о причастности Lazarus Group, поскольку эта хакерская группировка ранее использовала схожие методы атак и схемы отмывания средств, замеченные при взломах ByBit и Phemex.

Кол-во адресов злоумышленника на момент времени: 557

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-22 в 15:22 mETH Protocol сообщает о успешной блокировке и возврате 15 000 $cmETH, о чем было заявлено в посте на платформе Х

*mETH Protocol — это платформа для ликвидного стейкинга Ethereum, созданная сообществом Mantle. Пользователи могут отправлять ETH в стейкинг и получать взамен $mETH, который приносит доход и может использоваться в DeFi-приложениях. При необходимости его можно обменять обратно на ETH с учетом накопленных наград.

Кол-во адресов злоумышленника на момент времени: 573

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-22 в 16:43 SlowMist опубликовала статью, в которой заявила, что обнаружила подтверждения возможной причастности Lazarus Group к взлому Bybit. SlowMist выявила идентичные адреса и другие доказательства, указывающие на схожие паттерны атаки.

В сентябре 2024 года сингапурская криптовалютная биржа BingX подверглась хакерской атаке, в результате которой из горячих кошельков было похищено более $43 миллионов. Среди украденных активов были Ethereum (ETH), Binance Coin (BNB) и Tether (USDT).

В январе 2025 года сингапурская криптовалютная биржа Phemex подверглась хакерской атаке, в результате которой из горячих кошельков было похищено около $85 миллионов.

Некоторые эксперты по безопасности предположили, что за обеими атаками может стоять хакерская группа Lazarus, связанная с Северной Кореей, основываясь на используемой тактике.

Кол-во адресов злоумышленника на момент времени: 751

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Криптовалютная биржа Bybit запустила программу вознаграждений за восстановление украденных средств после недавнего взлома. Инициатива предусматривает выплаты в размере до 10% от возвращенной сумм* для специалистов по кибербезопасности и аналитиков блокчейна, которые помогут отследить и вернуть похищенные активы. В случае полного восстановления средств общая сумма вознаграждений может достигать 140 миллионов долларов. Bybit подчеркивает, что этот шаг направлен на усиление безопасности и защиту пользователей платформы.

Кол-во адресов злоумышленника на момент времени: 607

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

ChangeNOW — это некастодиальный сервис для мгновенного обмена криптовалют, поддерживающий более 850 цифровых активов и работающий без регистрации. Платформа позволяет пользователям обменивать криптовалюту без лимитов и хранения средств, обеспечивая быстрые и анонимные транзакции.

THORChain — это децентрализованный протокол ликвидности, позволяющий пользователям обменивать криптовалютные активы между различными блокчейнами без необходимости в централизованных биржах или обернутых токенах.

Кол-во адресов злоумышленника на момент времени: 884

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-23 в 4:32 UTC В рамках поста Бен Чжоу призвал eXch оказать содействие, так как это речь не про взаимоотношения между двумя компаниями, а общее противостояние злоумышленникам. Также подчеркнул, что делом занимается Интерпол и другие международные регулирующие органы.

Кол-во адресов злоумышленника на момент времени: 995

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Tether. Компания Tether Limited является эмитентом стейблкоина USDT, привязанного к доллару США. Основанная в 2014 году, Tether предоставляет пользователям возможность проводить транзакции с цифровыми активами, минимизируя волатильность, присущую другим криптовалютам.

FixedFloat — это некастодиальный автоматический сервис для мгновенного обмена криптовалют, запущенный в 2018 году. Платформа поддерживает более 60 цифровых активов, включая Bitcoin, Ethereum, Tether и Monero, и позволяет пользователям обменивать их без регистрации и KYC-процедур.

Avax. Avalanche — это платформа смарт-контрактов для децентрализованных приложений и собственный токен AVAX. Запущенная в сентябре 2020 года компанией Ava Labs, основанной выпускниками Корнелльского университета, Avalanche позволяет создавать многофункциональные блокчейны и dApps, обеспечивая высокую масштабируемость и совместимость между сетями.

Coinex. CoinEx — международная криптовалютная биржа, основанная в 2017 году, предоставляющая пользователям в более чем 200 странах удобный доступ к торговле цифровыми активами.

Bitget. Bitget — централизованная криптовалютная биржа, основанная в 2018 году и зарегистрированная на Сейшельских островах.

Circle. Circle Internet Financial Limited — финансово-технологическая компания, основанная в октябре 2013 года Джереми Аллером и Шоном Невиллем. Компания управляет стейблкоином USDC, стоимость которого привязана к доллару США. Штаб-квартира Circle находится в Бостоне, штат Массачусетс.

Кол-во адресов злоумышленника на момент времени: 1 450

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-24 13:00 UTC. Компания Elliptic опубликовала статью, в которой утверждает, что злоумышленники уже отмыли 14,5% украденных активов, что на данный момент составляет 195 миллионов долларов. Elliptic предполагает, что они для этого могли использовать миксеры. В отчете также отмечается, что сервис eXch отказался от сотрудничества в расследовании.

Кол-во адресов злоумышленника на момент времени: 2 291

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-25-25 2:07 Бен Чжоу анонсировал в ближайшие несколько дней что-нибудь, что позволит всей индустрии бороться с хакерами и решать проблемы восстановления украденных средств.

Кол-во адресов злоумышленника на момент времени: 4 153

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Компания Chainalysis в своем блоге анализирует методы атаки, указывая на схожесть с тактикой, ранее использованной хакерами, связанными с Северной Кореей. В статье подчеркивается важность прозрачности и сотрудничества в криптоиндустрии для отслеживания и возврата украденных средств, а также для усиления коллективной безопасности против подобных угроз.

Кол-во адресов злоумышленника на момент времени: 4 181

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Lazarus Group — одна из самых известных и опасных хакерских групп в мире, которая, как считается, связана с правительством Северной Кореи (КНДР). Она специализируется на кибершпионаже, кибератаках на финансовые учреждения и развитии вредоносного программного обеспечения.

Цели группы включают:

Ключевые атаки:

Методы атак:

Рекордные кражи и рост активности в 2024–2025 годах

Хакеры, связанные с Северной Кореей, украли примерно 660,5 миллиона долларов в ходе 20 атак в 2023 году. В 2024 году эта сумма увеличилась до 1,34 миллиарда долларов, похищенных в 47 атаках, что составляет рост на 102,88% по сравнению с предыдущим годом. Взлом Bybit привел к краже суммы, превышающей общую сумму всех украденных Северной Кореей средств за 2024 год на почти 160 миллионов долларов.

Кол-во адресов злоумышленника на момент времени: 4 876 (2025-02-25 12:35)

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

*на графе связей:

⚫ - адреса, которые ZachXBT отметил как Bybit Exploiterсвязующие адреса помечены красным цветом

2025-02-25 13:30 UTC Команда AML crypto проводит собственное расследование, а также внимательно следит за публикациями других блокчейн-специалистов на тему Bybit Exploit. Это важно, так как позволяет коллективно проводить перепроверку сделанных выводов.

ZachXBT на портале Chainabuse публикует данные об адреса, которые связаны с Bybit Exploit. AML crypto обратило внимание на ряд отмеченных адресов:

Пока команда AMLcrypto задается вопросом как к этим адресам пришел ZachXBT и если есть основания считать их причастными к инциденту, то следует также и разметить другие адреса:

Хэш транзакции: 0x0a1c34806d862ad82936a38ce24c406120e236cf036e06e2e72a835e348aa233

Адрес Bybit exploiter: 0x81eFb9709D403493DCdCA0f1e27aD4D82A4168a5

Депозитный адрес Gate IO: 0x60b30037aD28b63BBbC29155c4eC876E472EeC86

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

*Легенда графа транзакций:

[1] - кластер адресов Bybit exploiter

[2,3,4,5,6,7,8,9] - адреса Bybit exploiter

[10,11,12,13,14,15,16] - депозитные адреса HitBTC

Хэши транзакций:

Адреса Bybit exploiter:

Депозитные адреса HitBTC:

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Бен Чжоу объявил о запуске сайта lazarusbounty.com, который предоставляет полную прозрачность в отношении отмывания денег группой Lazarus. На платформе можно подключить свой кошелек, помочь отследить средства и получить мгновенную награду, если ваши данные приведут к заморозке средств. Вся цепочка участников, включая биржи и миксеры, получает свою часть вознаграждения. Также на сайте доступен рейтинг добросовестных и недобросовестных участников, что мотивирует компании избегать попадания в «черный список».

В будущем планируется добавление новых функций, таких как обновление балансов кошельков в реальном времени, инструменты для регуляторов и расширение поддержки для других жертв Lazarus.

Кол-во адресов злоумышленника на момент времени: 6 469

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Компания АМЛ Крипто выявила перетекание ETH с адреса 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 через сеть Solana, Binance Smart Chain в Bitcoin. Для конвертации использовался Debridge и Bridgers

Кол-во адресов злоумышленника на момент времени: 6 527

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Elliptic запустила бесплатный поток данных о нелегальных адресах, связанных с взломом Bybit

Кол-во адресов злоумышленника на момент времени: 6 527

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

АМЛ Крипто провела экспресс-анализ информации из API, представленного накануне Elliptic, и выявила ряд адресов, которые целесообразно повторно проверить на причастность к инциденту.

По данным AML Crypto ряд адресов принадлежит пользователям, а также различным сервисам.

AML Crypto также поделилась своим API с данными по Bybit Exploit для совместной верификации данных и уточнения разметки.

Кол-во адресов злоумышленника на момент времени: 6 527

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Хэш транзакции: 0x31564b2cb2cb4ec253e1dc3fd9f905ea315973b3bc02cb08b6f3caba240084e6

Адрес Bybit exploiter [6]: 0x69a2c4e62ae16eaa17c9639844e7640a4ee59474

Депозитный адрес n-exchange [7]: 0x1bac08001d761c303901d5e32273a24c07d3f3da

*Граф связей:

[1,2,3,4,5,6] - адреса Bybit exploiter

[7] - адрес n-exchange

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Количество транзакций и блокчейн адресов злоумышленников идет на тысячи. Восприятие этих данных даже в виде графа становится проблематичным. Команда AML Crypto решила продемонстрировать упрощенный граф с данными по сети Ethereum, где промежуточные адреса объедены в кластеры. Основной акцент внимание сделан на известных конрагентов, с которыми взаимодействовали злоумышленники.

Граф показывает, как средства распределяются и частично выводятся через различные централизованные и децентрализованные сервисы, которые могли быть использованы для отмывания и обналичивания.

Основные тезисы:

1. Начальная точка – холодный кошелек Bybit.

2. Движение средств – средства были распределены по множеству связанных адресов, прежде чем попасть на сервисы, участвующие в инциденте.

3. Финальные назначения – средства попали на централизованные биржи и сервисы, децентрализованные мосты, протоколы и обменники, а также адреса-хранилища

Централизованные сервисы, получившие средства:

Децентрализованные сервисы:

Кол-во адресов злоумышленника на момент времени: 7 024

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Кол-во адресов злоумышленника на момент времени: 7 024

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Интервью выявило не только шаги, предпринятые для управления кризисом, но и личное влияние инцидента на Чжоу, который признался, что последние дни были одними из самых стрессовых в его жизни и практически бессонными.

Немедленная Реакция и Управление Кризисом

Финансовая Стабильность и Прозрачность

Улучшение Технической Безопасности

Личные Уроки и Видение Будущего

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Теперь в режиме реального времени можно видеть данные ByBit о перетекание средств через крипто-адреса, охватывая несколько блокчейн-сетей.

Этот сервис от ByBit не только предоставляет ценные данные о расследовании инцидента, но и предлагает вознаграждение за помощь в блокировке украденных средств. Все желающие могут внести свой вклад в раскрытие преступления и получить вознаграждение за свою помощь.

Кроме того, на платформе можно найти список "охотников за головами", которые уже получили свои награды. На данный момент 12 участников получили $4,226,778 за активное участие в расследовании.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

В опубликованном заявлении спецслужбы США уточнили, что хакеры использовали специализированное программное обеспечение, названное TraderTraitor. Это вредоносный инструмент, маскирующийся под легитимные программы для торговли криптовалютой, но созданный на основе открытых исходников. Программы были написаны на JavaScript с использованием Node.js и фреймворка Electron, как сообщается в бюллетене ФБР от 18 апреля 2022 года.

Согласно ФБР, за использованием TraderTraitor стоит группа хакеров, спонсируемая правительством Северной Кореи, известная как Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Их деятельность отслеживается с 2020 года.

Также ФБР опубликовало адреса украденных Ethereum и призвало блокировать любые транзакции, связанные с этими адресами.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Основное внимание стоит уделить тому, как было скомпрометировано фронтенд-кодирование кошелька Safe, что подчеркивает важность строгого контроля кода в криптовалютных проектах.

Полные версии отчетов об атаке доступно по ссылке.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

По информации Arkham ETH на общую сумму в 240 миллионов в основном были обменены на нативный BTC.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Бен Чжоу, CEO Bybit, опубликовал новый пост о важном обновлении на платформе Lazarus Bounty, которое теперь предоставляет более подробную информацию и возможности для охотников за наградами, участвующих в расследовании кражи средств с Bybit. Вот основные нововведения:

Итоги: С момента запуска сайта было обработано 2167 отчетов. Все отчеты были проверены и платформа продолжает работать заявляя о высокой эффективности.

Бен Чжоу также отметил, что в ближайшее время можно ожидать еще больше обновлений и улучшений на платформе.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

2025-02-28 в 7:45 PM известный расследователь ZachXBT в своем ответе на твит CEO компании Circle отметил, что компания Tether Limited заблокировала $106к USDT на крипто адресах причастных к взлому ByBit, а компания Circle в свою очередь $115к USDC не заблокировали в течении 5 часов, хотя могли это сделать.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Thorchain — это децентрализованная кроссчейн платформа, позволяющая обменивать криптовалюты напрямую между различными блокчейнами без посредников (DEX). Вместо того, чтобы использовать централизованные биржи, Thorchain заявляет, что использует свой собственный протокол для безопасного и эффективного обмена активами.

🌐 Как это работает?

Thorchain позволяет обменивать такие активы, как Bitcoin, Ethereum, BNB и другие, без необходимости использовать централизованные биржи. Вместо этого используется *RUNE — нативный токен сети, который обеспечивает ликвидность.

*RUNE в THORChain выступает посредником в каждом свопе, связывая активы в пулах ликвидности. Токен также обеспечивает безопасность через облигации операторов нод и участвует в управлении сетью. Пользователям не нужно держать RUNE на счетах — обмен происходит автоматически через пулы.

💡 Интересный факты:

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

По данным мониторинга Bitrace, на 2 марта 2025 года, Tether и Circle заблокировали эти адреса на Ethereum и Tron, которые были связаны с хакером. Это действие позволило успешно перехватить более 760 000 USDT и USDC.

Адреса указанные Bitrace:

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

THORChain зафиксировал рекордный рост активности после крупного взлома криптобиржи Bybit на $1,4 млрд. Объем торгов за 2 марта превысил $1 млрд, что в несколько раз больше чем за любой другой день 2025 года до взлома ByBit.

Напомним, что 28 февраля аналитическая платформа Arkham заявляла о том, что группировка Lazarus отмывала $240 миллионов из украденных средств через Thorchain.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Бен Чжоу, CEO Bybit, поделился важной информацией о ходе расследования кражи $1,4 миллиарда, включая более 500,000 ETH, украденных с платформы. По его словам, на текущий момент:

Основные моменты:

Обновления по программе вознаграждений:

Полные детали доступны на LazarusBounty.com.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Хакеры завершили отмывание всех 499,000 ETH ($1,39 млрд), украденных с Bybit, за всего 10 дней. Основным каналом для отмывания средств стал THORChain, который обработал транзакции на сумму $5,9 млрд и получил $5,5 млн в виде комиссии. Удивительные цифры!

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Теперь на платформе доступны сведения о мостах, через которые были переведены средства, включая ThorChain (основной канал), OKX Web3 Proxy, Maya Protocol, Li.fi и Transit Swap.

Отметим, что только OKX Web3 Proxy не предоставил ответ Bybit, через этот мост прошли средства на сумму более $70 миллионов, которые до сих пор остаются неотслеживаемыми.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Недавно на платформе Paraswap появилось предложение, якобы от Bybit, с просьбой вернуть 44,67 wETH (около $92 000), которые были собраны через Paraswap как комиссии при обмене средств украденных с Bybit. Мошенники использовали Paraswap для отмывания части украденных средств, и теперь платформе предложено вернуть эти деньги для восстановления активов.

Однако возникают сомнения в подлинности этого предложения. Адрес, на который предполагается перевести средства — 0x3ac32a00afb4ca177a0e1b6899ab90d0b811412f, является пустым и не имеет транзакций, что ставит под вопрос его связь с реальным Bybit.

Также участники DAO Paraswap высказывают опасения, что этот запрос может быть связан с мошенниками, а не с официальным представителем Bybit. Есть мнение, что Paraswap, как децентрализованный сервис, не обязан отвечать за безопасность централизованных платформ, и возвращать средства просто потому, что они были использованы в незаконных операциях, может привести к прецеденту.

В ответ на эти вопросы, на платформе обсуждается целый ряд факторов: от этических вопросов до возможных юридических последствий. Некоторые предлагают вернуть часть средств в виде компенсации за расходы, другие сомневаются в правильности вмешательства в этот процесс без ясных юридических оснований.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

*Легенда на графе связей:

⚫ - адреса злоумышленников в сети Bitcoin

🟠 - адреса Thorchain bridge, которые предоставили ликвидность в сеть Bitcoin из сети Ethereum

С 3–4 марта 2025 года злоумышленники, ответственные за Bybit Exploit, перешли к новому этапу отмывания украденных средств. В сети Bitcoin были зафиксированы транзакции, распределяющие средства на множество адресов в рамках одной операции. Дополнительную сложность в отслеживании создаёт тот факт, что в таких транзакциях задействовано сразу множество отправителей. Из-за этого становится крайне затруднительно соотнести конкретные входы с соответствующими выходами, что значительно усложняет анализ и отслеживание дальнейшего движения похищенных активов.

Граф отражает перетекание средств от адресов Thorchain в сети Bitcoin, с помощью которых, злоумышленники переводили ликвидность из сети Ethereum в сеть Bitcoin.

До текущего момента, злоумышленники использовали простейшие транзакции в сети Bitcoin, в которых участвует 1 отправитель и 1 получатель. Такие транзакции можно трактовать как перевод средств от отправителя к получателю. Начиная с 3-4 марта, были замечены новые транзакции, где множество отправителей отправляет средства на множество адресов.

Такие транзакции следует называть Aggregated Transaction.

Примечательно, что группа Lazarus в процессе отмывания средств использует блокчейн-адреса, на которых криптовалюта хранилась более года.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Согласно анализу атак Lazarus Group, киберпреступники обладают обширным опытом и инструментами для отмывания украденных средств.

В марте 2022 года они совершили крупный взлом в истории криптовалюты, украв более $620 млн с кроссчейн-моста Ronin Bridge. Этот инцидент стал частью масштабного тренда атак на DeFi-протоколы, особенно на кроссчейн-мосты.

Почти сразу после атаки Lazarus начала переводить украденные средства в Tornado Cash, используя этот миксер для их последующего отмывания и сокрытия следов.

Такие действия подтверждают, что группа обладает глубокими знаниями в области блокчейн-анонимизации и продолжает совершенствовать свои методы ухода от слежки.

Примечательно, что группа Lazarus в процессе отмывания средств использует блокчейн-адреса, на которых криптовалюта хранилась более года. Это может свидетельствовать о нескольких важных аспектах их стратегии:

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist

Сегодня на платформе X (бывший Twitter) CEO Bybit Бен Чжоу поблагодарил Хонг Фанга, президента криптовалютной биржи OKX, за помощь в снижении неотслеживаемой суммы средств, украденных с Bybit. В своем сообщении Бен отметил, что после активной работы команды OKX количество неотслеживаемых средств было снижено до 3985 ETH, и они продолжат совместно работать над дальнейшим сокращением этой суммы.

Хонг Фанг подчеркнул, что OKX активно обновляет черные списки адресов и что все транзакции в кошельках с некастодиальным хранением должны быть отслеживаемыми. Также он предложил централизацию запросов через email (safety@okx.com) для более эффективного взаимодействия и предложил помощь своей команде OKX Web3 в анализе цепочек и мостов для отслеживания средств.

API для получения блэклиста: https://btrace.amlcrypto.io/api/v2/­bybit_blacklist