Как хакеры вытащили из холодного кошелька $1,5 млрд

Злоумышленники (если, конечно, они действительно были) смогли получить доступ к портативным Ledger (устройства для управления криптоактивами) нескольких сотрудников биржи, ответственных за управление так называемым холодным кошельком. Доступ к нему имеют всего шесть сотрудников биржи, и для осуществления транзакции необходимо подтверждение большинства из них. «Холодными» называют криптокошельки, которые предоставляют доступ к ключам шифрования без выхода в интернет, в отличие от «горячих» (используют постоянное подключение к сети). «Холодные» кошельки, как правило, используют для хранения значительных сумм средств, а «горячие» — для повседневных операций с ними.

Взломщики, получившие доступ к кошельку, смогли подменить смарт-контракты (специальные программы, которые и обеспечивают любые операции с криптосредствами) и оформили их в стандартный интерфейс так, что для ответственных за подписи все выглядело как обычная рабочая транзакция — с правильными адресами и URL. Фактически же логика смарт-контракта изменилась, и это дало хакерам возможность совершить перевод.

После взлома Bybit объявила, что готова выплатить награду в размере $140 млн тому, кто поможет вернуть украденные деньги. Хотя утраченные средства вернуть не удалось, биржа смогла восстановить на своей площадке резервы похищенной криптовалюты Ethereum спустя всего 72 часа после инцидента, что подтвердила ведущая аудиторская компания в сфере криптовалют Hacken. Согласно ее заключению, по состоянию на 23 февраля Bybit обладает достаточными резервами для покрытия пользовательских активов.

Под похожие атаки рискуют попасть и другие криптовалютные платформы, не использующие аппаратные модули безопасности (HSM) для подписания транзакций и ручные проверки для крупных переводов, а также имеющие уязвимое ПО и непроверенные смарт-контракты, признаёт директор департамента расследований T.Hunter, эксперт рынка НТИ «Сейфнет» Игорь Бедеров. В целом одними из типичных стратегий хакеров при атаках на криптобиржи являются эксплуатация уязвимостей в веб-интерфейсе, межсетевом мосту, смарт-контракте, подчеркивает он.

Опрошенные «Экспертом» специалисты подчеркивают, что прямой угрозы личным кошелькам пользователей в данном случае нет, криптобиржа теряет только собственные средства. Но это может привести к остановке вывода средств, падению курса ETH или ужесточению регуляции, что повлияет уже на всех участников рынка, считает Игорь Бедеров из T.Hunter. Кроме того, пользователи могут стать жертвами уже новой фишинговой атаки на фоне широкой огласки инцидента: например, злоумышленники могут предложить рядовым пользователям перевести деньги на «безопасный счет», чтобы не потерять их, допускает он.

По мнению Игоря Бедерова, несмотря на то что взлом произведен с применением физического криптокошелька, он все еще остается более безопасным, чем вариант хранения средств на бирже. Во избежание потери средств специалист рекомендует перепроверять адрес получателя вручную, обязательно использовать двухфакторную аутентификацию (2FA) и отслеживать уведомления биржи о подозрительных действиях.

Ранее также стало известно, что в РФ появились первые мошенничества с цифровым рублем.

Читать статью в полной версии «Эксперт»