През нощта на 21 февруари Бен Джоу, главен изпълнителен директор на борсата за криптовалути Bybit, влезе в компютъра си, за да одобри нещо, което изглеждаше като рутинна транзакция. Компанията му прехвърляла голямо количество Етер, популярна цифрова валута, от една сметка в друга.
Тридесет минути по-късно г-н Джоу получи обаждане от главния финансов директор на Bybit. С треперещ глас изпълнителният директор съобщил на г-н Джоу, че системата им е била хакната.
„Целият Етериум е изчезнал“, каза той. Когато г-н Джоу е одобрил транзакцията, той по невнимание е предал контрола над сметката на хакери, подкрепяни от правителството на Северна Корея, според ФБР. Те са откраднали 1,5 млрд. долара в криптовалути - най-големият обир в историята на индустрията.
За да извършат изумителния пробив, хакерите се възползвали от прост недостатък в сигурността на Bybit: зависимостта ѝ от продукт със свободен софтуер. Те проникнаха в Bybit, като манипулираха публично достъпна система, която борсата използваше за защита на депозити на клиенти за стотици милиони долари. В продължение на години Bybit разчиташе на софтуера за съхранение, разработен от доставчик на технологии, наречен Safe, дори когато други фирми за сигурност продаваха по-специализирани инструменти за бизнеса.
Хакерската атака изпрати криптопазарите в състояние на свободно падане и подкопа доверието в индустрията в ключов момент. При благоприятната за крипто администрацията на Тръмп, ръководителите на индустрията лобират за нови закони и разпоредби в САЩ, които биха улеснили хората да влагат спестяванията си в цифрови валути. В петък в Белия дом е планирано да се проведе „крипто среща на върха“ с участието на президента Тръмп и водещи представители на индустрията.
Експерти по криптосигурност заявиха, че са обезпокоени от това, което обирът разкрива за протоколите за безопасност на Bybit. Загубите са били „напълно предотвратими“, пише една от фирмите за сигурност в анализ на пробива, като твърди, че той „не е трябвало да се случи“.
Инструментът за съхранение на сейфове е широко използван в криптоиндустрията. Но той е по-подходящ за криптолюбители, отколкото за борси, обработващи милиарди клиентски депозити, каза Шарл Гилеме, изпълнителен директор на Ledger, френска фирма за криптосигурност, която предлага система за съхранение, предназначена за компании.
„Това наистина трябва да се промени“, каза той. „Това не е приемлива ситуация през 2025 г.“
В Bybit хакерската атака даде началото на трескави 48 часа. Компанията контролира депозити на клиенти на стойност цели 20 млрд. долара, но не е имала достатъчно Етер в наличност, за да покрие загубите от обира на стойност 1,5 млрд. долара. 38-годишният г-н Джоу се надпреварваше да поддържа бизнеса на повърхността, като вземаше заеми от други фирми и черпеше от корпоративните резерви, за да посрещне вълната от искания за теглене. В социалните медии той изглеждаше изненадващо спокоен, като няколко часа след кражбата обяви, че нивата му на стрес „не са много лоши“.
С развитието на кризата цената на биткойна, който е основен показател за индустрията, спадна с 20%. Това беше най-стръмният спад от 2022 г. насам, когато FTX, борсата, управлявана от изпадналия в немилост магнат Сам Банкман-Фрид, се провали.
В интервю тази седмица г-н Джоу призна, че Bybit е имала предварително предупреждение за възможни проблеми с Safe. По думите му три или четири месеца преди хакерската атака компанията е забелязала, че софтуерът не е напълно съвместим с една от другите ѝ услуги за сигурност.
„Трябваше да надградим и да се откажем от Safe“, каза г-н Джоу. „Определено искаме да направим това сега.“
Рахул Румала, главен продуктов директор на Safe, заяви в изявление, че екипът му е създал нови функции за сигурност, за да защити потребителите, и че продуктите на Safe са „гръбнакът на трезора за някои от най-големите организации в тази област“.
„Нашата работа е не само да поправим случилото се“, каза г-н Румала, “но и да гарантираме, че цялото пространство ще се поучи от това, така че това да не се повтори.“
Основана през 2018 г., Bybit функционира като криптопазар, където дневните търговци и професионалните инвеститори могат да конвертират своите долари или евро в биткойн и етер. Много инвеститори се отнасят към борси като Bybit като към неофициални банки, където депозират криптовалути за съхранение.
Според някои оценки Bybit е втората по големина криптоборса в света , която обработва десетки милиарди долари всеки ден. Базирана в Дубай, тя не предлага услуги на клиенти в Съединените щати.
На 21 февруари г-н Джоу си е бил у дома в Сингапур и е довършвал някаква работа, казва той в интервюто.
Но първо той и още двама ръководители трябвало да подпишат прехвърляне на криптовалути от една сметка в друга. Предполага се, че тези рутинни трансфери са сигурни: Никой отделен човек в Bybit не може да ги извърши, което създава множество нива на защита от крадци.
Зад кулисите обаче група хакери вече е била проникнала в системата на Сейф, според одита на хакерската атака в Bybit . Те са компрометирали компютър, принадлежащ на разработчик на Safe, казва лице, запознато с въпроса, което им е позволило да внедрят зловреден код за манипулиране на трансакциите.
Връзка, изпратена чрез Safe, приканва г-н Джоу да одобри превода. Това е било уловка. Когато той подписал, хакерите поели контрола над сметката и откраднали 1,5 млрд. долара в криптовалута.
Внезапните изходящи потоци се появиха в блокчейна, публичната счетоводна книга на транзакциите с криптовалути. Криптоаналитиците бързо идентифицираха виновника като Lazarus Group - хакерски синдикат, подкрепян от правителството на Северна Корея.
Същата вечер г-н Джоу отиде в сингапурския офис на Bybit, за да се справи с кризата. Той съобщи за хакерската атака в социалните медии и започна кризисния протокол, известен в компанията като P-1, като натисна бутон, за да събуди всеки член на ръководния екип.
Около 1 ч. през нощта г-н Джоу се появява на живо в X, като пие Red Bull. Той обеща на клиентите, че Bybit все още е платежоспособна.
„Дори ако тази загуба от хакерската атака не бъде възстановена, всички активи на клиентите са обезпечени 1 към 1“, каза той в публикация. „Можем да покрием загубата.“
Тези уверения не бяха достатъчни. В рамките на няколко часа, каза г-н Джоу, около половината от депозираните в платформата цифрови валути, или близо 10 млрд. долара, бяха изтеглени. Криптопазарът се срина.
За да ограничат щетите, други криптокомпании предложиха да помогнат. Грейси Чен, главен изпълнителен директор на конкурентната борса Bitget, отпусна на Bybit 40 000 етера, или приблизително 100 млн. долара, без да иска никаква лихва или дори обезпечение.
„Никога не сме поставяли под въпрос способността им да ни върнат парите“, каза г-жа Чен.
Между срещите за преодоляване на кризата г-н Джоу предоставяше текущ коментар за Х. Той споделяше скрийншоти от здравно приложение, показващи, че нивата му на стрес са изненадващо нормални.
„Твърде съсредоточен, командвайки всички срещи. Забравих да се стресирам“, написа той. „Мисля, че ще дойде скоро, когато започна наистина да осъзнавам концепцията за загубата на 1,5 млрд. долара“.
След като ограбват Bybit, севернокорейските хакери разпространяват откраднатите средства в огромна мрежа от онлайн крипто портфейли - стратегия за пране на пари, която те са използвали и след други обири.
„Lazarus Group е на друго ниво“, написа Хасиб Куреши, рисков инвеститор, в X след кражбата.
Експерти по сигурността обвиниха Bybit, че се е изложила на риск. За да оторизира рутинния трансфер, довел до хакването, г-н Джоу каза, че е използвал хардуерен инструмент, разработен от Ledger, фирма за криптосигурност. Устройството не е било синхронизирано със Safe, каза той. Така че той не е могъл да използва инструмента, за да провери пълните детайли на транзакцията, която одобрява, което винаги е рискова практика в света на криптовалутите.
„Safe просто не ви дава видовете контрол, които бихте искали, ако ще правите често оперативни трансфери“, каза Риад Уахби, професор по компютърно инженерство в университета „Карнеги Мелън“ и съосновател на фирмата за цифрова сигурност Cubist.
Г-н Джоу заяви, че му се иска да е предприел действия по-рано, за да подсили защитата на Bybit. „Сега съжалявам за много неща“, каза той. „Трябваше да обърна повече внимание на тази област.“
Въпреки това Bybit продължи да работи и след хакерската атака, като обработи всички тегления в рамките на 12 часа, каза г-н Джоу. Малко след пробива той обяви в X, че компанията е прехвърлила още около 3 млрд. долара в криптовалути.
„Това е планирана маневра, за ваше сведение“, написа той. „Този път не сме хакнати.“
Коментарі