Обирът на Bybit: Как Северна Корея открадна 1.5 милиарда за 47 минути
21 февруари 2025 г. 12:30 ч. координирано универсално време.
В операционния център на Bybit — криптовалутна борса със седалище в Dubai, обработваща десетки милиарди долари дневен обем търговия — започва планиран трансфер.
Четиристотин и една хиляди триста четиридесет и седем Ethereum токена. Приблизително един и половина милиарда долара в този момент. Трансферът е рутинен: от multisignature студен портфейл на Bybit, съхраняван офлайн за сигурност, към топъл портфейл, използван за оперативна ликвидност.
Трима старши служители на Bybit трябва да разрешат транзакцията. Те отварят интерфейса на Safe{Wallet} на своите работни станции. Преглеждат адреса на получателя. Преглеждат детайлите на транзакцията. Всичко съответства на очакваната операция.
Те подписват.
Една минута по-късно четиристотин и една хиляди Ethereum токена са изчезнали.
Не са прехвърлени към топлия портфейл. Прехвърлени са към адрес, контролиран от North Korea.
Не са откраднати пароли. Не са извлечени частни ключове. Не са фиширани идентификационни данни. Собствената инфраструктура на Bybit не е била компрометирана. Тримата подписали са направили точно това, което процедурите им са изисквали. Това, което са видели на екраните си, са одобрили.
Това, което са видели на екраните си, е било лъжа.
Това е най-голямата еднократна кражба на криптовалута, регистрирана някога. Според класификацията на Guinness World Records, това е най-големият банков обир в историята — надхвърлящ дори един милиард долара, извлечени от Saddam Hussein от централната банка на Iraq през 2003 г.
Извършен е чрез промяна на един файл на уебсайт.
Атаката не е била насочена пряко към Bybit.
Инфраструктурата на Bybit — сървъри, работни станции на служители, хардуер за подписване, вътрешни мрежи — никога не е била проникната. Всяко последващо криминалистично разследване, проведено от независими фирми Sygnia и Verichains, потвърди същото откритие. Bybit не е бил хакнат.
Компанията, която е била хакната, е Safe — по-рано Gnosis Safe — най-широко използваната multisignature платформа за портфейли в Ethereum екосистемата. Safe поддържа уеб интерфейса на app.safe.global, чрез който повечето институционални притежатели на Ethereum управляват многостранно оторизиране на големи транзакции.
Инженерният екип на Safe наброява приблизително тридесет души. Сред тях малка група системни администратори имат разрешения да модифицират работещия производствен код и внедрения уеб интерфейс.
Приблизително тридесет дни преди 21 февруари един от тези системни администратори е мишена.
Векторът е в съответствие с тактиката на North Korean звеното, вътрешно проследявано от Federal Bureau of Investigation като TraderTraitor. Звеното е подкомпонент на по-широката Lazarus Group, действащо от Третото бюро на Reconnaissance General Bureau на North Korea.
Специфичната техника не е публично разкрита от Safe или от разследващите. Най-вероятно: високоцелеви подход за социално инженерство, преминаващ през контакт в LinkedIn, разработчически форум или предлог за техническо сътрудничество. Администраторът изтегля нещо, което изглежда като легитимен технически артефакт. Артефактът съдържа зловреден софтуер.
Зловредният софтуер краде AWS сесийни токени. Не дълготрайни идентификационни данни — временните токени за удостоверяване, които разработчиците на Safe използват по време на нормалния си работен ден за достъп до Amazon Web Services, където се хоства уеб интерфейсът на Safe.
С тези токени нападателите получават достъп до AWS акаунта на Safe.
Те не извличат данни. Те не разполагат ransomware. Те не се опитват да се движат странично през инфраструктурата.
Те модифицират един JavaScript файл.
Файлът, обслужван от Amazon S3 хранилището на Safe, е frontend JavaScript, който изобразява интерфейса за одобрение на транзакции в браузърите на подписалите от Bybit.
Модифицираната версия съдържа това, което криминалистичните следователи по-късно описват като условна злонамерена логика.
За огромното мнозинство от потребителите на Safe — обикновени притежатели, други борси, децентрализирани финансови проекти — модифицираният JavaScript се държи идентично с легитимната версия. Интерфейсът се визуализира нормално. Транзакциите се обработват според очакванията. Нищо не изглежда нередно.
Зловредният код се изпълнява само когато са изпълнени специфични условия.
Тези условия са проектирани прецизно за Bybit.
Кодът проверява: тази сесия удостоверена ли е спрямо един от три специфични адреса на портфейл? Предлаганата транзакция прехвърляне ли е от Ethereum студен портфейл на Bybit? Ако и двете условия са верни — продължи.
Ако и двете условия са верни, зловредният JavaScript прихваща данните за транзакцията непосредствено преди да бъдат показани на подписалите. Той замества логиката на транзакцията. Това, което подписалите виждат на екрана си — адрес на получателя, сума, тип операция — остава визуално идентично с легитимния предназначен трансфер.
Това, което всъщност подписват, е `delegatecall` към договор, контролиран от North Korea.
В Ethereum, `delegatecall` е примитив, който позволява на един смарт договор да изпълнява код в контекста на друг — с пълен достъп до хранилището и средствата на извикващия. Когато подписващ одобри транзакция, която включва `delegatecall`, той не просто прехвърля средства. Той предоставя на извиквания договор пълен контрол върху извикващия портфейл.
Чрез одобряване на това, което смятат за рутинен трансфер, тримата подписали от Bybit предоставят на контролиран от North Korea договор пълна собственост върху техния студен портфейл.
След това нападателят го източва.
Четиристотин и една хиляди триста четиридесет и седем Ethereum токена. Един и половина милиарда долара.
И тримата подписали имаха активирана многофакторна автентификация на акаунтите си. И тримата имаха активни хардуерни ключове за сигурност. Нищо от това нямаше значение. Измамата се случи на слой над автентификацията — на слоя, където очите на подписалия интерпретират това, което се иска от подписалия да одобри.
Две минути след като транзакцията се появи в Ethereum mainnet, зловредният JavaScript на уебсайта на Safe е изтрит.
Модифицираният файл е заменен с легитимната версия. Всеки следващ посетител на app.safe.global получава чист код. Доказателствата изчезват от работната среда.
Но инфраструктурата на Safe не е единственото място, откъдето е бил обслужван файлът. Архивите на Wayback Machine — публичният архив на уеба, поддържан от Internet Archive — са заснели зловредната версия по време на активния й прозорец на разгръщане. Когато разследващите реконструират атаката, архивираният файл става централно криминалистично доказателство. Нападателите не са очаквали, че публичният уеб архив тихо прави копия на техния експлойт.
Системите за откриване на Bybit сигнализират за аномалията в рамките на минути. Изпълнителният директор Ben Zhou публично потвърждава кражбата в рамките на часове. Фирми за блокчейн анализ започват да проследяват откраднатия Ethereum в реално време.
Операцията по изпиране вече е започнала.
Методологията за изпиране на криптовалута на North Korea е зряла.
В рамките на първите четиридесет и осем часа след кражбата, блокчейн анализатори изчисляват, че приблизително сто и шестдесет милиона долара в Ethereum са успешно изпрани чрез децентрализирани борси и междуверижни мостове. Активите са конвертирани, фрагментирани, смесени чрез протоколи за поверителност и реконституирани в хиляди блокчейн адреси.
Предпочитаната цел за конвертиране е Bitcoin.
Транзакционният модел на Bitcoin използва Unspent Transaction Outputs — структура, която третира всяка транзакция като дискретна единица, аналогична на физическите пари в брой. Проследяването на конкретна доларова стойност през Bitcoin изисква проследяване на индивидуални UTXOs през много адреси, експоненциално по-сложна криминалистична задача от проследяването на Ethereum акаунт.
Звеното за изпиране на North Korea, определено от FBI като TraderTraitor, конвертира по-голямата част от откраднатия Ethereum в Bitcoin в рамките на първата седмица.
FBI издава публично съобщение на 26 февруари 2025 г. — пет дни след атаката — официално приписвайки кражбата на North Korea. Бюрото публикува петдесет и един Ethereum адреса, идентифицирани като част от инфраструктурата за изпиране. То призовава борси, децентрализирани финансови платформи и фирми за блокчейн разузнаване да блокират транзакции, произхождащи от тези адреси.
Приписването е бързо по стандартите на разследванията на кибератаки от национални държави. То е възможно благодарение на съпоставянето на модели.
Адресите, използвани за преместване на откраднатите средства на Bybit, се припокриват, в определени точки, с адреси, използвани при предишни кражби на криптовалута — кражбата на Phemex през 2024 г., кражбата на BingX през 2024 г., кражбата на Poloniex през 2023 г. Фирми за блокчейн разузнаване Elliptic и TRM Labs, заедно с независимия разследващ ZachXBT, установяват припокриванията в рамките на дни.
Едни и същи оператори управляват една и съща инфраструктура за изпиране при повтарящи се обири. Инфраструктурата е подписът.
Контекст за мащаба.
Според множество фирми за блокчейн разузнаване, Lazarus Group и нейните подкомпоненти са откраднали, за период от няколко години, приблизително от три точка четири до над шест милиарда долара в криптовалута. Само през 2024 г. кражби, свързани с North Korea, възлизат на над два милиарда долара.
Един и половина милиарда долара на Bybit, откраднати при една операция, надхвърлят следващия най-голям единичен обир — кражбата на триста и осем милиона долара през 2024 г. от японската борса DMM Bitcoin — пет пъти.
Средствата текат, чрез мрежи за изпиране, в сметки, контролирани от правителството на Democratic People's Republic of Korea. Определенията на Treasury Department многократно са установявали, че тези сметки финансират оръжейните програми на North Korea, включително разработването на балистични ракети и ядрената й програма.
Bybit, от своя страна, оцелява. Компанията е платежоспособна. В рамките на часове след кражбата, изпълнителният директор Ben Zhou урежда мостови заеми и стратегически входящи потоци от други институционални притежатели, за да попълни резервите. Средствата на клиентите остават защитени. Никой потребител не е загубил депозирани активи.
Борсата стартира програма за възнаграждение за възстановяване, предлагайки до десет процента от възстановените средства на тези, които помагат да бъдат проследени или иззети.
По-голямата част от откраднатия Ethereum не е възстановена.
Неразрешените елементи на този случай са структурни.
Bybit не е направил нищо нередно според стандартите за най-добри практики за съхранение на криптовалута. Той използва студено съхранение за своите резерви. Използва multisignature оторизация за преводи. Използва реномиран доставчик на интерфейс от трета страна. Използва хардуерни ключове за сигурност за своите подписали. Всеки защитен контрол, препоръчан от индустрията, Bybit е приложил.
Атаката е заобиколила всички тях, като е компрометирала слой извън контрола на Bybit.
Safe, доставчикът на интерфейс, обслужва хиляди институционални клиенти. Всеки от тези клиенти е можел да бъде мишена. Bybit е избран, защото нападателите, чрез първоначалното си разузнаване, са идентифицирали предварително адресите на неговия студен портфейл и транзакционните модели. Условният JavaScript е бил разработен около тези специфични данни.
Основната архитектурна слабост е обща, а не специфична.
Всеки уеб интерфейс, използван за подписване на криптовалутни транзакции, по дефиниция е потенциална точка за манипулация на дисплея. Ако интерфейсът може да бъде фино модифициран — чрез компрометиране на неговата хостинг инфраструктура, неговата мрежа за доставка на съдържание, неговото хранилище за изходен код или неговия конвейер за внедряване — подписващият не може, в повечето реализации, независимо да провери какво всъщност подписва.
Хардуерните портфейли с независим дисплей на транзакции са частично смекчаване. Но много хардуерни портфейли не декодират сложни транзакционни структури като `delegatecall` в човекочитаем вид. Те показват суров хеш. Потребител, който гледа шестдесет и четири символна хексадецимална низа, не може да провери значението й чрез преглед.
Потребителят трябва да се довери на интерфейса.
North Korea демонстрира на 21 февруари 2025 г. цената на това доверие.
Fragment Zero ще проследява случая.
Откраднатите средства продължават да се фрагментират в глобалния блокчейн. Части остават статични в адреси, които са били тагнати и санкционирани. Части продължават да се движат. Петдесет и един идентифицирани адреса на FBI са нараснали до няколкостотин, в множество вериги.
Разработчикът от Safe, чиято машина е била компрометирана, не е назован публично. Специфичният вектор за социално инженерство, използван за достигането му, не е публично детайлизиран.
Lazarus Group продължава да оперира. В месеците след кражбата на Bybit, по-малки, но все още значителни кражби — измервани в десетки милиони долари — са приписани на същата инфраструктура.
По-дълбокият въпрос не е дали криптовалутата може да бъде открадната.
По-дълбокият въпрос е колко финансова инфраструктура сега разчита на малък брой проекти с отворен код за интерфейси — поддържани от малки екипи, актуализирани чрез конвейери за разгръщане в реално време, консумирани чрез уеб браузъри — които стоят между милиарди долари активи и хората, които ги оторизират.
В този случай броят на хората, които биха могли да предотвратят най-голямата кражба в историята, е бил един. И той е кликнал върху нещо.
