Северокорейские хакеры совершили крупнейшую кражу криптовалюты в истории, похитив более $1,4 млрд с криптовалютной биржи Bybit. Злоумышленники уже начали отмывать украденные средства, используя мемкоины, децентрализованные биржи и анонимные кошельки.
TRM Labs “с высокой долей уверенности” связываетатаку с группировкой Lazarus Group. Исследование показало значительное совпадение между адресами кошельков в данной атаке и более ранними операциями КНДР. Подобного мнения придерживается аналитик ZachXBT, а специалисты Elliptic подробно описалисхему перемещения средств.
Взлом произошёл во время перевода крупной суммы Ethereum с холодного кошелька на горячий. В этот момент неизвестный посредник сумел перехватить 401000 ETH. Вскоре после атаки преступники начали обменивать украденные токены на Ethereum, поскольку у эмитентов токенов есть возможность заморозить средства, а Ethereum остаётся неподконтрольным централизованным органам.
Затем хакеры начали распределять средства по сотням кошельков. 21 февраля 50 различных кошельков получили по 10000 ETH, а затем начали систематически выводить деньги. По данным Elliptic, к 23 февраля из кошельков уже было выведено 14,5% средств. Часть денег отмывали через децентрализованные обменники, кросс-чейн мосты и централизованные биржи.
Отдельно специалисты указали на роль криптовалютной платформы eXch, не требующей верификации личности. Bybit запросила у платформы заморозку подозрительных адресов, однако в ответе eXch сослалась на давнюю критику в свой адрес со стороны Bybit и отказалась сотрудничать. Лишь на следующий день после переговоров с Bybit компания добавила проблемные адреса в чёрный список.
Также eXch заявила, что не отмывает деньги для Lazarus, и единственная транзакция, связанная с Bybit, была случайной и доходы от неё будут направлены на благотворительность. Несмотря на это, через eXch уже было отмыто более $75 млн.
Глава Bybit Бен Чжоу заявил, что биржа обладаетдостаточной ликвидностью для выполнения всех запросов на вывод средств и уже получила кредиты на покрытие ущерба. С момента атаки пользователи вывели$4 млрд. К 23 февраля компания заявила, что полностью закрыла финансовый разрыв. Bybit объявила вознаграждение в 10% от суммы за возврат украденных средств, а также сообщила, что уже удалось восстановить $42,9 млн с помощью партнёров.
Специалисты прогнозируют, что украденные средства в конечном итоге пройдут через биткоин-миксеры, что ещё больше затруднит отслеживание. Вопрос в том, удастся ли правоохранительным органам перехватить часть активов до того, как они растворятся в сети.