Внутри ограбления Bybit на 1,5 миллиарда долларов: как Северная Корея совершила крупнейшую криптокражу в истории

9 января 2026 г. · 11 мин чтения

Software Engineer

21 февраля 2025 года северокорейские хакеры похитили 1,5 миллиарда долларов в криптовалюте у базирующейся в Дубае биржи Bybit примерно за 30 минут. Это было не просто крупнейшее криптоограбление в истории — если бы Bybit была банком, оно стало бы крупнейшим ограблением банка, когда-либо зафиксированным в Книге рекордов Гиннесса.

Атака не была связана с использованием бага в смарт-контракте или взломом приватного ключа методом перебора. Вместо этого хакеры скомпрометировали ноутбук одного разработчика у стороннего провайдера кошельков, терпеливо ждали несколько недель и нанесли удар, когда сотрудники Bybit одобряли то, что выглядело как рутинный внутренний перевод. К тому времени, когда кто-то понял, что что-то не так, 500 000 ETH исчезли в лабиринте кошельков, контролируемых северокорейской группировкой Lazarus Group.

Это история о том, как это произошло, почему это важно и что это говорит о состоянии безопасности в сфере криптографии в 2025 году.

Атака: Мастер-класс по терпению и точности

Взлом Bybit не был обычным налетом. Это была тщательно спланированная операция, которая разворачивалась в течение нескольких недель.

Фаза 1: Компрометация разработчика

4 февраля 2025 года разработчик Safe{Wallet} — широко используемой платформы для кошельков с мультиподписью, на которую Bybit полагалась для обеспечения безопасности крупных переводов, — скачал то, что казалось легитимным Docker-проектом под названием «MC-Based-Stock-Invest-Simulator-main». Файл, скорее всего, был доставлен через атаку с использованием социальной инженерии, возможно, замаскированную под предложение о работе или инвестиционный инструмент.

Вредоносный Docker-контейнер немедленно установил соединение с сервером, контролируемым злоумышленниками. Оттуда хакеры извлекли сессионные токены AWS с рабочей станции разработчика — временные учетные данные, которые предоставляют доступ к облачной инфраструктуре Safe{Wallet}.

С помощью этих токенов злоумышленники полностью обошли многофакторную аутентификацию. Теперь у них были ключи от всего «королевства» Safe{Wallet}.

Фаза 2: Спящий код

Вместо того чтобы действовать немедленно, злоумышленники внедрили незаметный JavaScript-код в веб-интерфейс Safe{Wallet}. Этот код был специально разработан для Bybit — он оставался бездействующим до тех пор, пока не обнаруживал, что сотрудник Bybit открыл свою учетную запись Safe и собирается авторизовать транзакцию.

Сложность здесь поразительна. Весь функционал приложения Safe{Wallet} работал нормально для всех остальных пользователей. Целью был только Bybit.

Фаза 3: Ограбление

21 февраля 2025 года сотрудники Bybit инициировали то, что должно было стать рутинным переводом с холодного кошелька (безопасное автономное хранилище) на теплый кошелек (для активной торговли). Для этого требовалось несколько подписей уполномоченного персонала — стандартная практика безопасности, называемая мультисиг (multisig).

Когда подписанты открыли Safe{Wallet} для одобрения транзакции, интерфейс отобразил то, что казалось правильным адресом назначения. Но вредоносный код уже подменил команду на другую. Сотрудники, сами того не зная, одобрили транзакцию, которая опустошила весь холодный кошелек Bybit.

В течение нескольких минут 500 000 ETH стоимостью около 1,5 миллиарда долларов перетекли на адреса, контролируемые злоумышленниками.

Технический эксплойт: Delegatecall

Ключевой уязвимостью стала функция Ethereum delegatecall, которая позволяет смарт-контракту выполнять код другого контракта в контексте своего собственного хранилища. Злоумышленники обманом заставили подписантов Bybit изменить логику контракта их кошелька на вредоносную версию, фактически передав хакерам полный контроль.

Это не было багом в Ethereum или в основном протоколе Safe{Wallet}. Это была атака на человеческий фактор — момент, когда доверенные сотрудники проверяют и одобряют транзакции.

Lazarus Group из Северной Кореи: Самые прибыльные хакеры в мире

В течение 24 часов после атаки блокчейн-исследователь ZachXBT представил Arkham Intelligence доказательства, окончательно связывающие взлом с северокорейской группировкой Lazarus Group. ФБР подтвердило эту принадлежность 26 февраля 2025 года.

Lazarus Group — также известная как TraderTraitor и APT38 — действует под эгидой Главного разведывательного управления Северной Кореи. Это не преступная банда, ищущая прибыль для личного обогащения. Это поддерживаемая государством операция, доходы от которой идут на финансирование программ Северной Кореи по созданию ядерного оружия и баллистических ракет.

Цифры ошеломляют:

Только за 2025 год: северокорейские хакеры украли 2,02 миллиарда долларов в криптовалюте.
Доля Bybit: 1,5 миллиарда долларов (74 % от всей добычи Северной Кореи за 2025 год в результате одной атаки).
С 2017 года: Северная Корея похитила криптоактивов на сумму более 6,75 миллиарда долларов.
2025 против 2024: рост стоимости украденных активов на 51 % в годовом исчислении.

На долю Северной Кореи пришлось 59 % всей криптовалюты, украденной во всем мире в 2025 году, и 76 % всех взломов бирж. Ни один другой злоумышленник даже не приблизился к этим показателям.

Индустриализация криптокраж

Что отличает Северную Корею, так это не только масштаб, но и изощренность их операций.

Социальная инженерия важнее технических эксплойтов

Большинство крупных взломов 2025 года было совершено с помощью социальной инженерии, а не технических уязвимостей. Это представляет собой фундаментальный сдвиг. Хакеры больше не охотятся в первую очередь за багами в смарт-контрактах или криптографическими слабостями. Они целятся в людей.

Оперативники Lazarus Group внедрялись в качестве ИТ-специалистов в криптокомпании. Они выдавали себя за руководителей. Они рассылали разработчикам предложения о работе, содержащие вредоносное ПО. Атака на Bybit началась с того, что разработчик скачал поддельный симулятор торговли акциями — классический вектор социальной инженерии.

Китайская «прачечная»

Кража криптовалюты — это только половина задачи. Конвертация её в используемые средства без риска быть пойманным — процесс не менее сложный.

Вместо того чтобы обналичивать средства напрямую, Северная Корея передала отмывание денег на аутсорсинг тому, что следователи называют «Китайской прачечной» — разветвлённой сети подпольных банкиров, OTC-брокеров и посредников по отмыванию денег на основе торговых операций. Эти участники отмывают украденные активы через различные блокчейны, юрисдикции и платежные каналы.

К 20 марта 2025 года — менее чем через месяц после взлома Bybit — генеральный директор Бен Чжоу сообщил, что хакеры уже конвертировали 86,29 % украденного ETH в биткоины через множество промежуточных кошельков, децентрализованные биржи и кросс-чейн мосты. 45-дневный цикл отмывания после крупных краж стал предсказуемой закономерностью.

Несмотря на эти усилия, Чжоу отметил, что 88,87 % украденных активов остаются отслеживаемыми. Но «отслеживаемый» не означает «возвращаемый». Средства проходят через юрисдикции, не имеющие партнерских отношений с правоохранительными органами США или международными структурами.

Реакция Bybit: управление кризисом под огнём

В течение 30 минут после обнаружения взлома генеральный директор Бен Чжоу взял ситуацию под контроль и начал предоставлять обновления в режиме реального времени в X (бывший Twitter). Его сообщение было резким: «Bybit платежеспособна. Даже если потери от этого взлома не будут возмещены, все активы клиентов обеспечены 1 к 1, мы можем покрыть убытки».

Биржа обработала более 350 000 запросов на вывод средств в течение 12 часов — это стало сигналом для пользователей, что, несмотря на катастрофические потери, операции продолжатся в обычном режиме.

Экстренное финансирование

В течение 72 часов Bybit пополнила свои резервы, получив 447 000 ETH в качестве экстренного финансирования от партнеров, включая Galaxy Digital, FalconX и Wintermute. Bitget предоставила заем в размере 40 000 ETH, чтобы обеспечить бесперебойный вывод средств — этот заем Bybit погасила в течение трех дней.

Фирма по кибербезопасности Hacken провела аудит подтверждения резервов (proof-of-reserves), подтвердив, что основные активы Bybit обеспечены залогом более чем на 100 %. Такая прозрачность была беспрецедентной для кризиса подобного масштаба.

Программа вознаграждений (Bounty)

Чжоу объявил «войну против Lazarus» и запустил глобальную баунти-программу, предлагая вознаграждение до 10 % за информацию, которая приведет к заморозке активов. К концу года Bybit выплатила 2,18 млн долларов в USDT участникам, которые помогли отследить или вернуть средства.

Вердикт рынка

К концу 2025 года число пользователей Bybit по всему миру превысило 80 миллионов, ежедневный объем торгов составил 7,1 млрд долларов, а биржа заняла 5-е место среди спотовых криптовалютных бирж. Реакция на кризис стала хрестоматийным примером того, как выжить после катастрофического взлома.

2025: Год, когда кражи криптоактивов достигли 3,4 млрд долларов

Взлом Bybit доминировал в заголовках газет, но он был частью более масштабной тенденции. Общий объем краж криптовалют в 2025 году достиг 3,4 млрд долларов — новый рекорд и третий год роста подряд.

Ключевая статистика:

2023: украдено 2 млрд долларов
2024: украдено 2,2 млрд долларов
2025: украдено 3,4 млрд долларов

Доля Северной Кореи выросла примерно с половины до почти 60 % всех краж криптовалют. КНДР совершала более крупные кражи при меньшем количестве инцидентов, демонстрируя растущую эффективность и изощренность.

Извлеченные уроки: где система безопасности дала сбой

Взлом Bybit выявил критические уязвимости, которые выходят далеко за рамки одной биржи.

Риск третьих сторон является экзистенциальным

У Bybit не было сбоя в системе безопасности. Он произошел у Safe{Wallet}. Но последствия понесла Bybit.

Криптоиндустрия выстроила сложные цепочки зависимостей, где биржи полагаются на поставщиков кошельков, поставщики кошельков — на облачную инфраструктуру, а облачная инфраструктура — на рабочие станции отдельных разработчиков. Компрометация в любом звене этой цепочки может привести к катастрофическим последствиям.

Холодного хранения недостаточно

Индустрия долгое время считала холодные кошельки золотым стандартом безопасности. Но средства Bybit находились в холодном хранилище, когда их украли. Уязвимость заключалась в процессе их перемещения — этапе человеческого одобрения, для защиты которого и была разработана мультиподпись (multisig).

Когда переводы становятся рутиной, у подписантов развивается ложное чувство безопасности, и они начинают относиться к одобрениям как к формальности, а не как к критически важным решениям по безопасности. Атака на Bybit использовала именно этот поведенческий паттерн.

UI как единая точка отказа

Безопасность мультиподписи предполагает, что подписанты могут проверить то, что они одобряют. Но если интерфейс, отображающий детали транзакции, скомпрометирован, верификация теряет смысл. Злоумышленники показывали подписантам одно, выполняя при этом другое.

Симуляции перед подписанием — позволяющие сотрудникам предварительно просмотреть фактическое место назначения транзакции до одобрения — могли бы предотвратить эту атаку. Так же как и задержки для крупных выводов средств, дающие время для дополнительной проверки.

Социальная инженерия побеждает техническую безопасность

У вас может быть самая сложная криптографическая защита в мире, но один сотрудник, скачавший не тот файл, может обойти её всю. Слабое место в безопасности криптовалют всё чаще становится человеческим, а не техническим.

Регуляторные и отраслевые последствия

Взлом Bybit уже меняет регуляторный ландшафт.

Ожидайте введения обязательных требований к:

Аппаратным модулям безопасности (HSM) для управления ключами
Мониторингу транзакций в реальном времени и обнаружению аномалий
Регулярным сторонним аудитам безопасности
Усиленным AML-структурам и задержкам транзакций для крупных переводов

Безопасность и соответствие нормативным требованиям становятся порогом для доступа на рынок. Проекты, которые не смогут продемонстрировать надежное управление ключами, дизайн разрешений и заслуживающие доверия механизмы безопасности, окажутся отрезанными от банковских партнеров и институциональных пользователей.

Что это значит для индустрии

Взлом Bybit раскрывает неудобную правду: модель безопасности криптовалют настолько же крепка, насколько крепко её самое слабое операционное звено.

Индустрия вложила значительные средства в криптографическую безопасность — доказательства с нулевым разглашением, пороговые подписи, защищенные анклавы. Но самая сложная криптография теряет смысл, если злоумышленник может обманом заставить человека одобрить вредоносную транзакцию.

Для бирж сигнал ясен: инновации в области безопасности должны выходить за рамки технологий и охватывать операционные процессы, управление рисками сторонних организаций и постоянное обучение сотрудников. Регулярные аудиты, совместный обмен данными об угрозах и планирование реагирования на инциденты больше не являются обязательными.

Для пользователей урок столь же суров: даже крупнейшие биржи с самой сложной системой безопасности могут быть скомпрометированы. Самостоятельное хранение, аппаратные кошельки и распределенное хранение активов остаются самыми надежными долгосрочными стратегиями — даже если они менее удобны.

Заключение

Северокорейская Lazarus Group поставила кражу криптовалюты на поток. С 2017 года они украли более 6,75 миллиарда долларов, причем 2025 год стал для них самым успешным. Один только взлом Bybit — 1,5 миллиарда долларов за одну операцию — демонстрирует возможности, которым позавидовала бы любая спецслужба.

Криптоиндустрия находится в состоянии гонки вооружений с поддерживаемыми государством хакерами, которые обладают неограниченным терпением, сложными техническими возможностями и не боятся последствий. Атака на Bybit удалась не благодаря какому-то новому эксплойту, а потому что злоумышленники понимали: самым слабым звеном являются люди, а не код.

До тех пор, пока индустрия не начнет относиться к операционной безопасности с той же строгостью, что и к криптографической, подобные атаки будут продолжаться. Вопрос не в том, произойдет ли еще один взлом на миллиард долларов, а в том, когда это случится и сможет ли цель среагировать так же эффективно, как Bybit.

Эта статья предназначена только для образовательных целей и не должна рассматриваться как финансовый совет. Всегда проводите собственное исследование и уделяйте приоритетное внимание безопасности при взаимодействии с криптовалютными биржами и кошельками.

Share on Twitter

API Marketplace Featured

Атака: Мастер-класс по терпению и точности​

Фаза 1: Компрометация разработчика​

Фаза 2: Спящий код​

Фаза 3: Ограбление​

Технический эксплойт: Delegatecall​

Lazarus Group из Северной Кореи: Самые прибыльные хакеры в мире​

Индустриализация криптокраж​

Социальная инженерия важнее технических эксплойтов​

Китайская «прачечная»​

Реакция Bybit: управление кризисом под огнём​

Экстренное финансирование​

Программа вознаграждений (Bounty)​

Вердикт рынка​

2025: Год, когда кражи криптоактивов достигли 3,4 млрд долларов​

Извлеченные уроки: где система безопасности дала сбой​

Риск третьих сторон является экзистенциальным​

Холодного хранения недостаточно​

UI как единая точка отказа​

Социальная инженерия побеждает техническую безопасность​

Регуляторные и отраслевые последствия​

Что это значит для индустрии​

Заключение​