Злоумышленники (если, конечно, они действительно были) смогли получить доступ к портативным Ledger (устройства для управления криптоактивами) нескольких сотрудников биржи, ответственных за управление так называемым холодным кошельком, рассказал главный технологический эксперт «Лаборатории Касперского» Александр Гостев. Доступ к нему имеют всего шесть сотрудников биржи, и для осуществления транзакции необходимо подтверждение большинства из них. «Холодными» называют криптокошельки, которые предоставляют доступ к ключам шифрования без выхода в интернет, в отличие от «горячих» (используют постоянное подключение к сети). «Холодные» кошельки, как правило, используют для хранения значительных сумм средств, а «горячие» — для повседневных операций с ними.
Взломщики, получившие доступ к кошельку, смогли подменить смарт-контракты (специальные программы, которые и обеспечивают любые операции с криптосредствами) и оформили их в стандартный интерфейс так, что для ответственных за подписи все выглядело как обычная рабочая транзакция — с правильными адресами и URL. Фактически же логика смарт-контракта изменилась, и это дало хакерам возможность совершить перевод, пояснил генеральный директор ST IT, эксперт рынка НТИ «Технет» Антон Аверьянов.
Одним из ответственных за одобрение транзакции был гендиректор биржи. «Они просто доверились информации на экране, где им был показан поддельный интерфейс», — подтверждает Александр Гостев из «Лаборатории Касперского». После получения одобрения от четырех «держателей ключей» хакеры получили права на модификацию кода приложения и внедрили в него уже свой адрес, на который и было переведено более 400 тыс. ETH. Затем украденные средства были распределены по более чем 50 кошелькам и был начат процесс «отмывания» через криптомиксеры и обменники, утверждает специалист.
Для затруднения отслеживания действий злоумышленники применили сложные схемы маршрутизации транзакций: переводы проходили через цепочку промежуточных адресов и миксинговых сервисов, пояснил глава отдела безопасности распределенных систем Positive Technologies Илья Дружинин. Такая схема усложняла восстановление полной цепочки операций и определение начальной точки атаки.
После взлома Bybit объявила, что готова выплатить награду в размере $140 млн тому, кто поможет вернуть украденные деньги.
Хотя утраченные средства вернуть не удалось, биржа смогла восстановить на своей площадке резервы похищенной криптовалюты Ethereum спустя всего 72 часа после инцидента, что подтвердила ведущая аудиторская компания в сфере криптовалют Hacken. Согласно ее заключению, по состоянию на 23 февраля Bybit обладает достаточными резервами для покрытия пользовательских активов.
Под похожие атаки рискуют попасть и другие криптовалютные платформы, не использующие аппаратные модули безопасности (HSM) для подписания транзакций и ручные проверки для крупных переводов, а также имеющие уязвимое ПО и непроверенные смарт-контракты, признаёт директор департамента расследований T.Hunter, эксперт рынка НТИ «Сейфнет» Игорь Бедеров. В целом одними из типичных стратегий хакеров при атаках на криптобиржи являются эксплуатация уязвимостей в веб-интерфейсе, межсетевом мосту, смарт-контракте, подчеркивает он.
По мнению Антона Аверьянова из ST IT, уязвимость Bybit, скорее всего, разрабатывалась точечно под эту платформу и происходило это продолжительное время: «Вряд ли такой же процесс возможно быстро повторить с другими биржами». Более того, добавляет он, Bybit, скорее всего, уже передала другим биржам информацию о данной атаке, чтобы они тоже усилили свою безопасность, так что вряд ли что-то подобное случится в ближайшее время.
Опрошенные «Экспертом» специалисты подчеркивают, что прямой угрозы личным кошелькам пользователей в данном случае нет, криптобиржа теряет только собственные средства. Но это может привести к остановке вывода средств, падению курса ETH или ужесточению регуляции, что повлияет уже на всех участников рынка, считает Игорь Бедеров из T.Hunter. Кроме того, пользователи могут стать жертвами уже новой фишинговой атаки на фоне широкой огласки инцидента: например, злоумышленники могут предложить рядовым пользователям перевести деньги на «безопасный счет», чтобы не потерять их, допускает он.
Помимо технических средств, критическим фактором для успешности атаки стал человеческий фактор, подчеркивает Александр Гостев из «Лаборатории Касперского». Ежедневная рутинная операция по переводу из «холодного» на «горячий» кошелек привела к тому, что операторы не проверили важнейший компонент, информацию о транзакции на устройстве — эта атака называется blind signing, поясняет он. Такие атаки не будут использоваться против обычных пользователей — слишком долгая подготовка, считает Антон Аверьянов из ST IT, обычные пользователи с большей вероятностью могут «попасть» на вирус (который тоже «умеет» подменять адрес транзакции при переводе) или попросту перевести деньги на поддельные адреса без перепроверки, предупреждает он: «В мире криптовалют всегда нужно проверять все по несколько раз, ведь безопасность пользователя тут полностью зависит от него самого».
По мнению Игоря Бедерова, несмотря на то что взлом произведен с применением физического криптокошелька, он все еще остается более безопасным, чем вариант хранения средств на бирже. Во избежание потери средств специалист рекомендует перепроверять адрес получателя вручную, обязательно использовать двухфакторную аутентификацию (2FA) и отслеживать уведомления биржи о подозрительных действиях. Александр Гостев, в свою очередь, обращает внимание, что основой всего должна быть защита всех аппаратных устройств (компьютеров, телефонов), которые взаимодействуют с «холодным» кошельком.
Больше новостей читайте в нашем телеграм-канале @expert_mag
