Подмена адресатов и обычная человеческая невнимательность стали главными причинами крупной кражи у криптобиржи Bybit. К такому выводу пришли специалисты в сфере информационной безопасности, опрошенные «Экспертом».
На прошедших выходных, 21 февраля, мошенники получили доступ к криптокошельку биржи и вывели с него более 400 тыс. ETH, или около $1,5 млрд. Атака на Bybit стала не просто самым масштабным похищением криптоактивов, но и самым крупным ограблением в истории в принципе. Более 20 лет таковым считалась пропажа из Центрального банка Ирака почти $1 млрд.
«Эксперт» разобрался, как это произошло и как не потерять свои деньги таким же образом. Злоумышленники (если, конечно, они действительно были) смогли получить доступ к портативным Ledger (устройства для управления криптоактивами) нескольких сотрудников биржи, ответственных за управление так называемым холодным кошельком, рассказал главный технологический эксперт «Лаборатории Касперского» Александр Гостев.
Доступ к нему имеют всего шесть сотрудников биржи, и для осуществления транзакции необходимо подтверждение большинства из них. «Холодными» называют криптокошельки, которые предоставляют доступ к ключам шифрования без выхода в интернет, в отличие от «горячих» (используют постоянное подключение к сети). «Холодные» кошельки, как правило, используют для хранения значительных сумм средств, а «горячие» — для повседневных операций с ними.
Взломщики, получившие доступ к кошельку, смогли подменить смарт-контракты (специальные программы, которые и обеспечивают любые операции с криптосредствами) и оформили их в стандартный интерфейс так, что для ответственных за подписи все выглядело как обычная рабочая транзакция — с правильными адресами и URL.
Фактически же логика смарт-контракта изменилась, и это дало хакерам возможность совершить перевод, пояснил генеральный директор ST IT, эксперт рынка НТИ «Технет» Антон Аверьянов. Под похожие атаки рискуют попасть и другие криптовалютные платформы, не использующие аппаратные модули безопасности (HSM) для подписания транзакций и ручные проверки для крупных переводов, а также имеющие уязвимое ПО и непроверенные смарт-контракты, признаёт директор департамента расследований T.Hunter, эксперт рынка НТИ «Сейфнет» Игорь Бедеров. В целом одними из типичных стратегий хакеров при атаках на криптобиржи являются эксплуатация уязвимостей в веб-интерфейсе, межсетевом мосту, смарт-контракте, подчеркивает он.
По мнению Антона Аверьянова из ST IT, уязвимость Bybit, скорее всего, разрабатывалась точечно под эту платформу и происходило это продолжительное время: «Вряд ли такой же процесс возможно быстро повторить с другими биржами». Более того, добавляет он, Bybit, скорее всего, уже передала другим биржам информацию о данной атаке, чтобы они тоже усилили свою безопасность, так что вряд ли что-то подобное случится в ближайшее время.
Источник: Эксперт
