Взлом Bybit на 1,5 млрд долларов год спустя: 88% можно отследить, лишь 3% заморожено — что пошло не так

21 февраля 2025 года северокорейская группировка Lazarus Group совершила крупнейшую кражу криптовалюты в истории — 1,5 млрд долларов в Ethereum были выведены из холодного кошелька Bybit за одну транзакцию. Год спустя цифры рассказывают отрезвляющую историю: в то время как фирмы по блокчейн-аналитике изначально отследили 88,87 % украденных средств, заморожено было всего 3,54 %. Остальное распределено по тысячам кошельков в ожидании.

Это не просто история об ограблении. Это тематическое исследование того, как хакерская операция на государственном уровне переиграла инфраструктуру безопасности всей индустрии, и чему криптомир научился — или не смог научиться — за прошедшие двенадцать месяцев.

Атака: Брешь в Web2, сокрушившая крупнейший кошелек Web3

Взлом Bybit не был эксплойтом смарт-контракта. Это не была атака с использованием мгновенных займов (flash loan) или rug pull. Это была компрометация цепочки поставок (supply chain compromise), нацеленная на человеческий фактор — именно тот уровень, который должны защищать мультисиг-кошельки.

Цепочка атаки (Kill Chain)

Атака разворачивалась в течение 17 дней с хирургической точностью:

• 4 февраля 2025 года: Lazarus Group скомпрометировала рабочую станцию на базе macOS, принадлежащую разработчику Safe{Wallet}, вероятно, с помощью социальной инженерии — тактики, которую группа оттачивала в сотнях операций.
• 19 февраля: Злоумышленники модифицировали ресурсы JavaScript, размещенные в корзине AWS S3 компании Safe{Wallet}. Внедренный код содержал условие активации, предназначенное для срабатывания только тогда, когда конкретный холодный кошелек Bybit инициирует транзакцию.
• 21 февраля: Операционная команда Bybit инициировала плановый перевод с холодного на горячий кошелек. Интерфейс Safe{Wallet} отображал легитимно выглядящую транзакцию. Но за интерфейсом на аппаратные устройства Ledger подписантов была отправлена иная полезная нагрузка (payload). Трое подписантов одобрили то, что они считали стандартным переводом, неосознанно авторизовав вредоносную транзакцию, которая перенаправила 401 347 ETH на кошельки под контролем злоумышленников.
• Две минуты спустя: Хакеры загрузили чистые версии файлов JavaScript в корзину S3, стерев следы внедрения.

Вся операция — от срабатывания триггера до очистки следов — заняла менее десяти минут активного исполнения. Подготовка заняла недели. Последствия длятся уже год.

Почему мультисиг подвел

Взлом Bybit разрушил фундаментальное предположение в сфере криптобезопасности: что мультисиг-кошельки с аппаратными подписантами устойчивы к сложным атакам. Проблема заключалась не в криптографической безопасности самого мультисига. Она была в слое пользовательского интерфейса (UI), который находился между подписантами-людьми и транзакцией, которую они одобряли.

Интерфейс Safe{Wallet} показывал одну транзакцию. Устройства Ledger получили другую. У подписантов не было практического способа проверить необработанные данные транзакции на своих аппаратных кошельках и сопоставить их с тем, что отображал веб-интерфейс. Эта уязвимость типа «то, что вы видите, не является тем, что вы подписываете» (what you see is not what you sign) превратила самую доверенную инфраструктуру кошельков в индустрии в вектор атаки.

Отмывание денег: Как Lazarus перемещает 1,5 млрд долларов

В течение нескольких часов после кражи Lazarus Group активировала сценарий отмывания денег, отточенный годами операций. Скорость и сложность были беспрецедентными, но методология была знакома блокчейн-следователям.

Фаза 1: Конвертация и дисперсия

Хакеры немедленно начали конвертировать украденные ETH в другие активы. К 20 марта 2025 года генеральный директор Bybit Бен Чжоу подтвердил, что 86,29 % украденных эфиров были конвертированы в Bitcoin. Средства были распределены по тысячам промежуточных кошельков, создав огромный граф транзакций, предназначенный для того, чтобы сделать ручное расследование невозможным.

Фаза 2: Микширование и кроссчейн-маскировка

Украденные активы проходили через децентрализованные биржи, кроссчейн-мосты и сервисы микширования. THORChain — децентрализованный протокол кроссчейн-ликвидности — стал основным каналом. Анонимная биржа eXch также способствовала обменам, генерируя сотни тысяч долларов комиссионных, при этом отклоняя запросы Bybit о блокировке активности.

Использование децентрализованной инфраструктуры создало философскую и практическую дилемму для индустрии: протоколы без разрешений (permissionless) не могут выборочно цензурировать транзакции, не подрывая свое основное ценностное предложение. Однако разрешение государству отмывать 1,5 млрд долларов через ваш протокол создает экзистенциальный регуляторный риск.

Фаза 3: Игра в ожидание

Исторически Lazarus Group позволяет украденным средствам лежать без движения месяцы или даже годы, прежде чем пытаться вывести их в наличные через фиатные шлюзы (off-ramps). Это терпение является стратегическим преимуществом. Со временем биржи обновляют свои системы соответствия, внимание регуляторов переключается, а сообщество блокчейн-криминалистов переходит к новым инцидентам.

К апрелю 2025 года статистика отслеживаемости значительно ухудшилась. Первоначальный показатель в 88,87 % отслеживаемых средств упал до 68,6 %, в то время как процент «ушедших в тень» средств вырос с 7,59 % до 27,6 %. Только 3,8 % остались замороженными — показатель лишь немногим лучше, чем 3,54 %, зафиксированные месяцем ранее, но это катастрофический результат, учитывая масштабы мобилизации индустрии.

Реакция: 72 часа, которые стали испытанием для биржи

Оперативное реагирование Bybit на кризис стало эталоном для всей индустрии. В течение 72 часов после взлома биржа полностью восстановила функционал вывода средств — критически важный шаг для сохранения доверия пользователей в период, когда мог произойти фатальный наплыв желающих забрать свои активы (bank run).

Экстренная ликвидность

Самым драматичным моментом стало решение генерального директора Bitget Грейси Чен (Gracy Chen) предоставить Bybit кредит в размере 40 000 ETH (приблизительно 104 миллиона долларов) — без процентов и без залога. «Речь шла просто о поддержке коллеги, оказавшегося в беде», — заявила Чен. Bybit погасила кредит в течение трех дней.

В общей сложности Bybit получила около 446 870 ETH (около 1,23 миллиарда долларов) за счет сочетания экстренных кредитов, депозитов от крупных держателей («китов») и прямых покупок активов. Резервы биржи были фактически восстановлены, что гарантировало сохранность средств клиентов, несмотря на кражу.

Программа вознаграждений

Bybit запустила программу под названием «LazarusBounty», предложив 10% от любых возвращенных средств — до 140 миллионов долларов — исследователям безопасности, баунти-хантерам и блокчейн-детективам, которые смогут помочь отследить или заморозить украденные активы.

Программа привлекла более 5 000 заявок, хотя только 63 из них были признаны обоснованными. В общей сложности 12 баунти-хантерам было выплачено 2,2 миллиона долларов. Крипто-детектив ZachXBT заработал 50 000 токенов ARKM за то, что одним из первых окончательно связал эксплойт с северокорейской группировкой Lazarus Group — вывод, который ФБР официально подтвердило несколько дней спустя.

Модернизация системы безопасности

В месяцы, последовавшие за взломом, Bybit внедрила более 50 обновлений безопасности и прошла более 30 внешних аудитов. Биржа перестроила инфраструктуру своих кошельков, перенеся процессы подписания в изолированные среды, добавив более строгий контроль проверки кода, проведя аудит всех сторонних инструментов и внедрив систему обнаружения аномалий в режиме реального времени. Процедуры мультиподписи (multisig) были переработаны с нуля.

Несмотря на взлом, к концу 2025 года число зарегистрированных пользователей Bybit выросло с 50 до 80 миллионов, что свидетельствует как об эффективном управлении кризисом со стороны биржи, так и о короткой памяти крипторынка в отношении инцидентов с безопасностью.

Глобальный контекст: Крипто-военная машина Северной Кореи

Взлом Bybit не был единичным случаем. Это стало кульминацией систематической, поддерживаемой государством операции по краже криптовалюты, которая за последнее десятилетие принесла Северной Корее около 6,75 миллиарда долларов.

Масштабирование угроз

Цифры неуклонно растут:

• 2024 год: Группировка Lazarus Group похитила 1,3 миллиарда долларов в ходе многочисленных операций.
• 2025 год: Общий объем краж криптовалюты, приписываемых КНДР, достиг 2,02 миллиарда долларов — рост на 51% в годовом исчислении — при этом только взлом Bybit составил 1,5 миллиарда долларов от этой суммы.
• Общие потери отрасли в 2025 году: Превысили 4 миллиарда долларов, что сделало этот год худшим в истории по объемам краж криптовалюты.

Взлом Bybit продемонстрировал тактическую эволюцию. Вместо того чтобы атаковать DeFi-мосты или эксплуатировать уязвимости смарт-контрактов — что раньше было основным направлением деятельности группы — Lazarus нацелилась на цепочку поставок доверенного поставщика инфраструктуры. Объектом атаки стал не блокчейн, а Web2-инфраструктура: ноутбук разработчика, корзина AWS S3, JavaScript-файл.

Финансирование приоритетных целей

Каждый украденный доллар идет на финансирование программ Северной Кореи по созданию ядерного оружия и баллистических ракет. Группа экспертов ООН неоднократно документировала, как кибероперации КНДР напрямую финансируют разработку оружия массового уничтожения. Один только взлом Bybit — на сумму 1,5 миллиарда долларов — превышает оценочный годовой военный бюджет Северной Кореи.

Эта реальность превращает то, что могло бы быть просто историей о кибербезопасности, в геополитическую проблему. Провалы в безопасности криптоиндустрии имеют прямые последствия для глобального режима ядерного нераспространения.

Чему индустрия научилась (и чему нет)

Взлом Bybit послужил катализатором значительных улучшений в практике безопасности криптовалют. Однако год спустя фундаментальные уязвимости, сделавшие эту атаку возможной, по-прежнему широко распространены в отрасли.

Что изменилось

Улучшились стандарты верификации мультиподписей (multisig). Крупные биржи и кастодиальные сервисы внедрили независимые каналы проверки транзакций, снизив зависимость от одного уровня интерфейса (UI). Концепция «что видишь, то и подписываешь» (what you see is what you sign) превратилась из теоретической проблемы в операционный приоритет.

Выросла осведомленность о безопасности цепочки поставок. Криптоиндустрия начала внедрять практики, давно ставшие стандартом в традиционной безопасности программного обеспечения: подписание кода, проверка целостности сторонних зависимостей и архитектура с нулевым доверием (zero-trust) для инфраструктуры подписания.

Усилилось внимание регуляторов. Агентства в США, Сингапуре и Европейском союзе начали пересмотр требований к аудиту кошельков, раскрытию рисков, контролю цепочки поставок ПО и прозрачности реагирования на инциденты.

Что осталось прежним

Уровень возврата средств в 3% говорит сам за себя. Несмотря на 140 миллионов долларов в качестве вознаграждений, совместными усилиями Bybit, аналитических компаний, правоохранительных органов и тысяч охотников за головами удалось вернуть менее 50 миллионов из украденных 1,5 миллиардов долларов. Инфраструктура, не требующая разрешений (permissionless), по своей сути остается устойчивой к возврату активов после кражи.

Децентрализованные протоколы по-прежнему не могут (или не хотят) вводить цензуру. THORChain и eXch способствовали отмыванию миллиардов. Напряженность между децентрализованной архитектурой и сотрудничеством с правоохранительными органами остается неразрешенной, и у индустрии нет механизмов для борьбы с кражами государственного масштаба через децентрализованную инфраструктуру.

Операционная безопасность разработчиков остается слабым звеном. Первоначальный взлом произошел через ноутбук одного разработчика. Год спустя большинство криптопроектов все еще не имеют формальных требований безопасности для рабочих станций разработчиков, а зависимость индустрии от интерфейсов кошельков на базе браузеров продолжает подвергать процессы подписания атакам на веб-уровне.

Год спустя: где находятся средства

По состоянию на февраль 2026 года приблизительное распределение украденных средств в размере 1,5 миллиарда долларов выглядит следующим образом:

• ~3–4% заморожено (~$42–57 миллионов): Успешно заморожены благодаря сотрудничеству с биржами и координации с правоохранительными органами.
• ~27–30% ушли в тень: Средства, которые прошли через миксеры, мосты или были иным образом скрыты за пределами текущих возможностей отслеживания.
• ~66–70% отслеживаемы, но невозвратны: Находятся на идентифицированных кошельках, которые ни одна централизованная организация не имеет полномочий или возможности заморозить.

Эта последняя категория вызывает наибольшее разочарование. Прозрачность блокчейна позволяет следователям видеть деньги. Они знают, где они находятся. Но «отслеживаемость» не означает «возможность возврата» в системе, не требующей разрешений. Lazarus Group может позволить себе ждать годы. Следственное сообщество — нет.

Взгляд в будущее

Первая годовщина взлома Bybit — это не история с финалом. Это история, которая все еще разворачивается. Украденные средства продолжают перемещаться небольшими партиями. Lazarus Group продолжает искать новые цели. А структурная напряженность, которую выявил взлом — между децентрализацией и подотчетностью, между протоколами без разрешений и правоохранительными органами, между безопасностью и удобством использования — остается такой же острой, как и прежде.

В конечном счете взлом Bybit продемонстрировал, что самой большой уязвимостью криптоиндустрии являются не ее смарт-контракты или механизмы консенсуса. Это человеческая и Web2-инфраструктура, которая соединяет эти системы с физическим миром. Пока индустрия не устранит этот разрыв с той же строгостью, которую она применяет к разработке протоколов, вопрос не в том, произойдет ли следующий взлом на миллиард долларов. Вопрос в том, когда.

---

Для команд, создающих продукты на базе блокчейн-инфраструктуры, безопасность начинается с фундамента. BlockEden.xyz предоставляет инфраструктуру узлов корпоративного уровня со встроенным мониторингом и обнаружением аномалий в сетях Ethereum, Sui, Aptos и более чем 20 других сетях — решение для команд, которые не могут позволить себе компромисс в вопросах безопасности. Изучите наш маркетплейс API, чтобы строить на инфраструктуре, которой можно доверять.