W dniu 21 lutego 2025 platforma BYBIT, jedna z czołowych giełd kryptowalut, padła ofiarą zaawansowanego ataku hakerskiego, w wyniku którego skradziono około 400 000 ETH oraz tokenów stETH. Wartość tych aktywów szacowana jest na ponad 1,5 mld dolarów, co czyni ten incydent największym hackiem w historii branży.
Mechanizm ataku
Jak podają źródła, hakerzy wykorzystali lukę w procesie zatwierdzania transakcji w portfelu chłodnym (cold wallet) BYBIT. Przez manipulację interfejsem użytkownika, w którym wyświetlana była poprawna docelowa wartość transakcji, udało się oszukać podpisujących transakcję. W rzeczywistości modyfikowano logikę smart kontraktu, co umożliwiło przekierowanie środków do adresów kontrolowanych przez przestępców.
Znany analityk blockchain @ZachXBT odegrał kluczową rolę w rozpracowaniu ataku. Dzięki swojej dogłębnej analizie ruchu środków na blockchainie, @ZachXBT dostarczył definitywne dowody wskazujące, że za incydentem stoi grupa Lazarus. Jego analiza ujawniła, że skradzione środki – około 400 000 ETH oraz odpowiadające im tokeny stETH – zostały najpierw skoncentrowane w jednym portfelu, a następnie rozdzielone na ponad 40 mniejszych adresów, co umożliwiło szybkie „rozmycie” środków.
Reakcja BYBIT – szybkie działania kryzysowe
Natychmiast po wykryciu nieautoryzowanych transakcji BYBIT podjęło szereg kroków mających na celu minimalizację strat oraz zabezpieczenie pozostałych środków użytkowników. Wśród najważniejszych działań można wymienić:
- Zablokowanie dalszych transakcji: Systemy monitorujące platformę zostały przełączone na tryb kryzysowy, co pozwoliło zatrzymać kolejne operacje hakerskie.
- Współpraca z organami ścigania: BYBIT zgłosiło incydent odpowiednim służbom, aby pomóc w identyfikacji sprawców i odzyskaniu skradzionych środków.
- Audyt bezpieczeństwa: Specjaliści ds. cyberbezpieczeństwa przystąpili do kompleksowego audytu systemów, mającego na celu wykrycie i naprawienie wszelkich luk.
- Komunikacja z użytkownikami: CEO BYBIT, Ben Zhou, zapewnił na platformie X, że „BYBIT jest wypłacalny, nawet jeśli straty nie zostaną odzyskane – wszystkie aktywa klientów są 1:1 zabezpieczone.”
Pomimo ogromu strat, platforma zadeklarowała, że operacje giełdy nie zostaną przerwane, a użytkownicy nadal mają możliwość realizowania wypłat.
Aktualizacja BYBIT – przywrócenie usług i postępy w odzyskiwaniu środków
W najnowszej aktualizacji opublikowanej przez BYBIT, firma poinformowała, że wszystkie usługi, w tym system wypłat, zostały w pełni przywrócone. Klienci mogą bez przeszkód korzystać z platformy, a wszelkie opóźnienia, które wystąpiły tuż po ataku, zostały rozwiązane. BYBIT poinformowało również, że proces odzyskiwania środków przebiega zgodnie z planem – firma zabezpieczyła dodatkową płynność dzięki tzw. bridge loan, który pokrywa 80% wartości skradzionych środków. Działania te mają na celu zapewnienie, że pomimo ogromnych strat operacyjnych, platforma pozostaje w stanie honorować wypłaty klientów, a ich pozostałe aktywa są bezpieczne.
Incydent ten stanowi bolesne przypomnienie, że nawet najbardziej renomowane giełdy mogą być narażone na zaawansowane cyberataki.