🥷 Крупнейшая кража в истории криптовалют: хакеры украли у биржи ByBit 💴 $1,46 млрд

21 февраля криптобиржа ByBit в результате атаки пала жертвой хакеров на сумму около $1,46 млрд (в эквиваленте Ethereum). Злоумышленникам удалось обмануть сотрудников биржи с помощью манипуляции с пользовательским интерфейсом (UI). Далее будет в деталях...

Один из 🤌холодных кошельков был атакован, но остальные средства биржи надёжно защищены. По словам генерального директора Bybit Бен Чжоу, компания останется платежеспособной и постарается всё вернуть пользователям до копейки.

🤦‍♂️ Часть комментаторов писала про взлом биржи, другая часть сообщала о "взломе смарт-контракта"...Что известно об этом?

📌 Какие подробности известны?

1️⃣ Подготовка и фаза атаки (до и 21 февраля 2025): хакеры спланировали атаку, используя знания о процессе подписания транзакций в мультиподписном кошельке ByBit, управляемом через Safe. global, а затем использовали методы социальной инженерии для манипуляции подписантами кошелька. Подписанты это сотрудники Bybit, имеющие доступ к ETH Multisig Cold Wallet. Злодеи cоздали поддельный Safe. global UI, который выглядел как оригинальный интерфейс. Сотрудники биржи заходили в кошелёк и видели корректный URL, но по факту подписывали не обычную транзакцию, а авторизацию замены мастер-контракта кошелька на вредоносный.

2️⃣ Вывод средств (21-22 февраля 2025): аналитик ZachXBT фиксирует "подозрительные оттоки" с ByBit на сумму около $1,5 млрд. По данным Check Point, атакующий инициировал ExecTransaction в мультиподписном кошельке ByBit. Атака шла через execTransaction Safe Multisig, а delegatecall позволил хакерам выполнить код подмененного контракта.

3️⃣ Легализация средств и отмывание (22-23 февраля 2025): после получения контроля над холодным кошельком ByBit злоумышленники оперативно начали вывод активов, чтобы минимизировать шансы на их заморозку. Всего 400 000 ETH (~$1,46 млрд) были переведены на 39 различных кошельков, а затем ещё 10 000 ETH (~$36,5 млн) отправлены на 9 дополнительных адресов. Аналитик ZachXBT выдвинул версию, что за атакой могут стоять северокорейские хакеры из Lazarus Group, основываясь на методах отмывания и разделения активов, характерных для этой группировки. Аналитическая платформа Arkham также поддержала версию ZachXBT, ссылаясь на "неопровержимые доказательства".

По данным ZachXBT, выявлены более 920 адресов, связанных с отмыванием. Хакеры использовали миксеры и кроссчейн-мосты. Украденные активы были быстро конвертированы через DEX (децентрализованные биржи) и размыты через мультичейн-биржи+миксеры. Были замечены Tornado Cash и eXch. Часть активов переведена в биткоины через Chainflip и ThorChain. По данным расследователей, злоумышленники активно использовали мосты для перемещения средств между сетями (Ethereum → Binance Smart Chain → Solana). Утверждается, что PumpFun может использоваться Lazarus для "отбеливания".

4️⃣ Реакция ByBit (23 февраля 2025): ByBit официально заявляет, что остаётся платёжеспособной и может покрыть потери. Safe начинает внутреннее расследование. Власти и биржи получают список адресов для блокировки, которые связаны с инцидентом.

5️⃣ Последствия и выводы с (24 февраля 2025): криптосообщество пересматривает безопасность мультиподписных кошельков и начинает дискуссию по этому поводу в социальных сетях. ByBit усиливает внутренние меры безопасности и помогает правоохранительным органам вести расследование. Bybit объявила о запуске программы Recovery Bounty, которая предлагает вознаграждение в размере 10% ($140 млн) от суммы успешно возвращенных активов.

⚔️ Атака на ByBit стала беспрецедентной, поскольку хакерам удалось обойти механизмы защиты c помощью социальной инженерии, человеческого фактора и манипуляции пользовательским интерфейсом (UI spoofing). Кстати, CertiK упомянули возможную атаку на ByBit в самом начале с помощью фишинга.

👀 Зарепорченный список адресов в Scam Report.

✋ @Russian_OSINT

👀 OSINT-специалист "Cyberknow" снова обновил свой 📖трекер противостояния хакерских группировок.

👺 По его данным, в 2024 году насчитывалось около 138 группировок.

В 2025 общее количество хакерских групп на 24.02 уменьшилось со 138 до 80. По-прежнему популярны DDoS, шифровальщики, взломы, доксинг, информационные операции.
↘️ Пророссийские силы - 47 хакерских групп.
↘️ Проукраинские силы - 32 хакерские группы.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Хакеры MASSGRAVE сообщают о разработке своего пиратского метода, который позволяет обойти почти всю схему защиты лицензирования ПО Microsoft Windows и Office.

Причем, как утверждают MAS, их обход может работать изначально без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост.

Хакеры успешно протестировали технику активации лицензий для Microsoft Office, Windows 7, Windows 8/8.1, Windows 10, Windows 11, всех выпусков Windows Server, а также для ESU и CSVLK.

По словам хакеров, такие методы активации HWID и KMS применялись годами: первый с 2018 года, второй - более 17 лет.

Однако они не обеспечивали долгосрочную активацию всех версий, чего удалось добиться MASSGRAVE.

В качестве пруфов MASSGRAVE опубликовали скрины активированных версий Windows с ESU, подтверждая все свои заявления.

Хакеры намерены выкатить свой инструмент в паблик в ближайшие месяцы. Чем ответит Microsoft - будем посмотреть.

💡На заметку: у кого есть аккаунт в🦆 — в настройках рекомендуется отключить "предоставление данных", чтобы Grok 3 не обучался на ваших данных. Сбор по умолчанию стоит с галочкой.

✋ @Russian_OSINT

😎 Агент Юстас вошёл в чат. Пост опубликован 15 минут назад.

✋ @Russian_OSINT

📘 Skype прекращает свою работу в мае 2025 года

Microsoft официально подтвердили, что с 5 мая 2025 года больше не будут поддерживать Skype. Пользователи смогут продолжить общение в Teams, используя свои текущие учетные записи Skype.

Действующие подписчики смогут использовать Skype Credit и подписки до окончания текущего периода оплаты. После 5 мая 2025 года звонки по Skype будут возможны только через веб-портал и интеграцию в Teams.

Рекомендуется пересмотреть ещё раз все свои старые сообщения в переписках, чтобы сохранить важное на всякий случай.

Ушла целая эпоха...

✋ @Russian_OSINT