Хакеры из Lazarus Group отмыли все украденные $1,4 млрд в Ethereum

Фото: Youtube

Северокорейская хакерская группировка Lazarus Group завершила отмывание 499 000 ETH, похищенных в результате атаки на криптовалютную биржу Bybit. Всего за десять дней злоумышленники провели крупнейшую операцию по сокрытию цифровых активов, использовав THORChain и другие децентрализованные сервисы. В общей сложности через THORChain прошло $5,9 млрд, а сама платформа заработала $5,5 млн на комиссии.

Каждый похищенный Ethereum прошел через сложную цепочку транзакций. Теперь эти средства практически невозможно отследить и вернуть.

EmberCN, аналитический отчет

В результате масштабной кибероперации курс Ethereum упал на 23%, снизившись с $2780 до $2130.

Федеральное бюро расследований США подтвердило, что атака была организована Lazarus Group. По данным спецслужбы, хакеры использовали вредоносное ПО TraderTraitor, которое маскируется под легальные криптовалютные платформы.

Эти приложения создавались на основе открытого исходного кода и выглядели как обычные инструменты для торговли криптовалютами. Однако их основной задачей был сбор данных пользователей и компрометация систем.

Бюллетень ФБР, 18 апреля 2022 года

Расследование показало, что взлом Bybit произошел 21 февраля 2025 года. В момент перевода средств с холодного кошелька на горячий преступники внесли изменения в логику работы SafeWallet — программного обеспечения для управления транзакциями биржи. Они использовали уязвимость, позволившую перенаправить активы на собственные кошельки.

В ходе анализа мы установили, что Lazarus изменили механизм работы смарт-контрактов. В результате вместо перевода на горячий кошелек Bybit более 400 000 ETH были отправлены на сторонний адрес, контролируемый хакерами.

Отчет Bybit о расследовании инцидента

По данным аналитиков, атака началась с компрометации облачной инфраструктуры AWS S3 или CloudFront, в которой хранились критически важные данные. Злоумышленники получили доступ к системе через зараженный компьютер одного из разработчиков SafeWallet, что позволило им внедрить вредоносный код и изменить логику транзакций.

Биржа Bybit объявила о масштабной кампании по поиску украденных средств. Компания запустила Recovery Bounty Program, в рамках которой предусмотрено вознаграждение до $140 млн за информацию, способствующую возврату активов. Согласно условиям программы:

• 5% от возвращенной суммы получит человек, который поможет выявить транзакции, связанные с кражей.
• 5% полагается биржам или сервисам, которые окажут содействие в возврате активов.

Мы не остановимся, пока Lazarus или другие преступные акторы не будут выведены из игры. В будущем мы расширим нашу программу, чтобы помочь другим жертвам подобных атак.

Бен Чжоу, CEO Bybit

Кроме того, Bybit запустила новую платформу HackBounty, направленную на борьбу с киберпреступностью в криптоиндустрии.

Это важный момент для всей индустрии цифровых активов. Если мы справимся, сможем выстроить по-настоящему эффективную защиту от подобных атак.

Бен Чжоу, CEO Bybit

На данный момент 77% украденных средств все еще отслеживаются, однако 20% уже анонимизированы, а еще 3% заморожены.

Этот случай стал одним из крупнейших криптовалютных хищений в истории. По мнению экспертов, инцидент с Bybit приведет к усилению мер безопасности на криптовалютных биржах и ужесточению контроля за сервисами микширования активов, такими как THORChain.