Расследование КоинКит: Как Bybit потеряла $1.5 млрд в результате самого крупного криптоограбления
24.02.2025 | CoinKyt Company

21 февраля, 2025 года была взломана централизованная криптовалютная биржа Bybit. Злоумышленникам удалось вывести почти $1.5 млрд в криптовалюте. Выводы производились в токене ETH, после чего переводились в другие и выводились на различные криптовалютные платформы. На момент написания материала часть украденной криптовалюты остаётся на адресах злоумышленников, а часть продолжает движение.

 

На своем официальном канале в X (Twitter)*, компания подтвердила несанкционированные выводы и сообщила, что взлом холодного кошелька биржи был осуществлен через подмену UI. При подписании мультисиг-транзакции отображался верный адрес, также компания заверила, что другие адреса надежно защищены.

*Х (Twitter) — запрещенная на территории РФ социальная сеть

В сообщении Bybit говорится:

 

«Компания Bybit обнаружила несанкционированные действия с одним из холодных кошельков ETH. Инцидент произошел, когда наш холодный кошелек ETH multisig выполнил перевод на наш горячий кошелек. К сожалению, эта транзакция была подделана с помощью сложной атаки, которая замаскировала интерфейс подписи, отобразив правильный адрес и изменив при этом логику смарт-контракта. В результате злоумышленник смог получить контроль над пострадавшим холодным кошельком ETH и перевести средства на неизвестный адрес.

Наша команда безопасности, а также ведущие эксперты по криминалистике блокчейна и партнеры активно расследуют этот инцидент. Мы приглашаем к сотрудничеству любые команды, обладающие опытом в аналитике блокчейна и восстановлении средств, которые могут помочь в отслеживании этих активов.

Мы хотим заверить наших пользователей и партнеров, что все остальные холодные кошельки Bybit остаются в полной безопасности. Все средства клиентов находятся в безопасности, а наши операции продолжаются в обычном режиме без каких-либо сбоев.

Прозрачность и безопасность остаются нашими главными приоритетами, мы будет держать вас в курсе последних событий и обновлений.»

 

О попытках связаться с хакером или вернуть украденные средства на данный момент ничего не известно. В этом расследовании мы разберём, как происходил вывод средств, куда они были направлены и как злоумышленники пытаются запутать следы.

Из-за большого объема транзакций визуализации с движением украденной криптовалюты доступны только на нашей платформе КоинКит.



Детали расследования: движение украденных активов

1. Начальный вывод средств

 

Все началось с внутренней транзакции, когда криптовалюта была выведена с холодного кошелька Bybit на адрес:

0x47666fab8bd0ac7003bce3f5c3585383f09486e2.

 

Рис.1. Адрес злоумышленника со 100% Risk Score

С этого адреса злоумышленник разделил средства на транзакции по 10 000 ETH и распределил их по 41 связанному адресу.


2. Перемещение через платформы


Украденные ETH были отправлены на различные криптовалютные платформы:

  • Централизованные биржи (включая Binance).
  • Обменные сервисы.
  • Децентрализованные платформы (Dex), такие как THORChain.
  • Смарт-контракты.

На момент написания этого материала, основная часть украденных активов находится на адресах злоумышленников. Перемещение криптовалюты продолжается только на 10 адресах, получивших ETH.

Для конвертации ETH в BTC хакеры использовали THORChain*. С 22 февраля через сервис прошла часть украденной криптовалюты. После конвертации средства были переведены на новые адреса. На некоторых из них криптовалюта остаётся без движения.


*THORChain — это протокол для кроссчейн-обменов, где любой может менять активы (ETH, BTC и др.) через пулы ликвидности без посредников. Хакеры уже перевели через него тысячи ETH.


3. Следы в BTC

 

После обмена на ThorChain 22 адреса получили BTC и перевели их на другие кошельки, владельцы которых неизвестны. Список адресов злоумышленников, получивших криптовалюту с Dex-платформы:

  • 19CQ8FKSgdP2KEXAVBv4GRgmMg1aRCoCff
  • 1LA1BkqGQPM5b6xK9qxKFUHcssB3Dq6XdN
  • 1NJif8RE5oEWfBdEWwYPHYVCZB9MHJHBWV
  • bc1q7kltg08e6eradvvg90ffh5ctwtftcfllfmlsqz
  • 196hJoDDcyzqWnWcsSMrCxsqZ9FbxKyAr
  • bc1q90qa27sljwgygchtuqutck0463kuwadd837357
  • 1LUzXB8Lpbg4uHC4w7SM1YQ9WkCSrss2qV
  • bc1qnd7ks2ylrplgzycfvzjwtdp4gxp4ks2rner9pc
  • bc1q5zlga2ej6237956pf7muexeflwdz0hvqvwn7j4
  • 18DASDnqNDCH138N5tSyq59Ti2G7i3h4dE
  • 1AG9Uek7jFT5o5dRtxQf217zMA6p7JxEyw
  • 13svPhza3V9y1nhzjEaJLRVmouF3c7zXex
  • 1Gc83ZukyoxDD6kdCCjtVqHP4UyQwS9wsJ
  • 1GJNPi9c6VoNqCcWq4LizUB9Ab2deKjUhH
  • 1Ffh5L62sEdozLbJTffq6bYPDm2FqfnZYg
  • 1DyxUKGSeG46Wh1BFBozfqRFdcVet7fHnk
  • bc1qsaq6fjxjq6zk62x8xlps0szafc0sn24aq7yq9t
  • bc1qxhrcg2k4tggqjjjmfqgnkw88ua8jzhehpukk0f
  • bc1qvhzx4ne7dps3w2sx0awutezg56t6k5xegs2ltl
  • bc1q6ddgq6wjd2yq852lcjf3me09rppqajtnzuxpux
  • bc1qwqvfuldnhwztnh9uus027j2hs8n736v0tp4mke
  • bc1qu4jhsz3uf4zdr7v46ssf0904ghyutafaqmv83j

 

На этих кошельках украденные активы остаются на данный момент, хотя перемещение может возобновиться в любой момент.

 

4. Следы на Binance

Также известно, что хакеры использовали 4 депозитных кошельках Binance в ETH для вывода украденной криптовалюты: 

  • 0x3ade0dcd123e3864c5bff9bd127e0f3bb74c05f8; 
  • 0x42655fc8443fb69e9ccdb94e89c1ee9317508a6d;
  • 0x08132b4985f7c630c413fd8275d467f6e668bdde;
  • 0x5ae46f4a6ca897cf6a27deeb213c0a28ce0bdf96.

На эти кошельки поступали значительные объемы ETH, после чего средства были выведены дальше. Точный объем средств, прошедших через эти адреса, остаётся предметом дальнейшего анализа, однако их использование подтверждает, что злоумышленники активно задействовали крупные централизованные платформы для легализации украденного.

 

5. Механизм атаки


Предположительно уязвимостью в системе стала подмена UI при подписании мультисиг-транзакции. Злоумышленник, вероятно, использовал фишинговую атаку или вредоносное ПО, чтобы подменить интерфейс, отображающий адрес получателя. Это позволило перенаправить средства на подконтрольный ему кошелек, несмотря на корректность данных в системе Bybit.

 

Итоги расследования


Взлом Bybit на $1.5 млрд стал одним из крупнейших инцидентов в истории централизованных криптобирж. Подмена UI как метод атаки подчеркивает уязвимости даже в системах с многофакторной аутентификацией и мультисиг-подписью. На данный момент значительная часть средств остается на адресах злоумышленников, а их дальнейшее перемещение усложняет отслеживание.

CEO CoinKYT, Виталий Горбенко, комментирует:

«Данный инцидент подчеркивает системную проблему в архитектуре безопасности централизованных платформ, где мультисигнатура, несмотря на свою криптографическую надёжность, оказывается уязвимой к атакам на уровне пользовательского взаимодействия. Биржам стоит внедрять дополнительные проверки — например, автоматическое сопоставление адресов на уровне протокола, а не только в интерфейсе.»