- Автор темы
- #1
Взлом криптовалютной биржи Bybit стал одним из самых громких инцидентов в мире блокчейн-технологий. За ним, как считают аналитики, стоит хакерская группировка Lazarus, предположительно связанная с Северной Кореей. Взлом привел к серьезным последствиям для самой биржи и всей отрасли в целом
В то время как Bybit пытается справиться с последствиями и восстановить ликвидность, криптосообщество переключило внимание на методы Lazarus Group. Рассказываем, какие схемы северокорейские хакеры используют для отмывания добытой крипты и сокрытия следов преступлений.
Как Bybit потеряла $1,4 млрд
21 февраля 2025 года в сети появились сообщения о взломе одной из крупнейших криптобирж Bybit. Первые же результаты анализа инцидента вывели исследователей на Lazarus Group, самую известную из северокорейских хакерских группировок. Ранее редакция BeInCrypto разбиралась в том, откуда в Северной Корее, которая не подключена к общей сети интернет, появились хакеры и зачем местные власти поддерживают их работу.Несмотря на потерю $1,4 млрд Bybit смогла сохранить свою репутацию благодаря оперативной реакции и поддержке криптосообщества. Биржа получила финансовую помощь от таких платформ, как Binance и Bitget, и скоординировала возврат средств через систему вознаграждений.
Атака оказалась идентичной взломам WazirX и Radiant Capital в 2024 году. Известно, что хакер атаковал мультиподписной холодный кошелек Bybit. Несмотря на то, что ранее аналогичные взломы уже случались, система криптобиржи оказалась не готовой к такому вызову и северокорейцы вновь получили деньги.
Как работает схема отмывания денег Lazarus Group
После взлома Bybit Lazarus Group начала применять свою известную стратегию отмывания, которая включает конвертацию малоликвидных активов в более ликвидные. По данным аналитических платформ Nansen и Chainalysis, группировка начала с конвертации $200 млн ранее застейканных монет в ETH, который гораздо легче перемещать в сети. Процесс стал частью более сложной схемы, направленной на запутывание следов и минимизацию возможности отслеживания.
Чтобы скрыть свои действия, Lazarus использовала разнообразные инструменты для отмывания средств, включая децентрализованные биржи, кроссчейн-мосты и сервисы мгновенного обмена, которые не требуют прохождения процедуры KYC. В процессе отмывания средства разделялись на несколько частей и направлялись в различные кошельки, что усложняло их идентификацию и отслеживание. Согласно Chainalysis, средства также перемещались через несколько промежуточных кошельков, создавая запутанный след.
Аналитики Arkham выяснили, что хакеры, в том числе, использовали в работе THORCHAIN. По их данным, злоумышленники уже отмыли через сеть криптовалюту как минимум на $240 млн. Предположительно, мошенники выбрали THORCHAIN потому, что платформа позволяет осуществлять прямые криптообмены между различными цепочками без необходимости работать с «обернутыми» монетами. Это помогает скрыть происхождение и назначение средств. В Arkham считают, что хакеры обменяли уже отмытые монеты на биткоины.
Кроме того, группировка использовала стратегию «сиди и жди». Некоторые кошельки с украденными средствами оставались неактивными в течение определенного времени, что позволило вывести их из-под прицела. Подобная стратегия позволяет Lazarus избежать повышенного внимания к своим действиям и дает время для перераспределения средств без особого риска.
Ранее редакция BeInCrypto опубликовала подробную статью о том, что такое «грязная» криптовалюта и как ее «отмывают».