Хакеры перевели 209 384 ETH с Bybit в биткоины: подробности громкого взлома

Как хакеры Bybit конвертировали 209 384 ETH в биткоины

Криптовалютный мир потрясла новость о взломе биржи Bybit, одной из крупнейших платформ для торговли цифровыми активами. Хакеры, предположительно связанные с северокорейской группировкой Lazarus, похитили около 400 000 ETH, а затем конвертировали значительную часть украденных средств — 209 384 ETH (примерно $480 млн по курсу на момент атаки) — в биткоины. Об этом сообщила глава службы безопасности MetaMask Тейлор Монахан, которая активно отслеживает перемещение похищенных активов. Этот инцидент стал не только крупнейшей кражей в истории криптовалют, но и вызвал серьезные вопросы о безопасности децентрализованных протоколов и их уязвимости перед киберпреступниками.

Аналитики компании Arkham Intelligence, специализирующейся на отслеживании блокчейн-транзакций, подтвердили, что значительная часть средств — $240 млн — была отмыта через кроссчейн-протокол THORchain. Этот инструмент стал ключевым звеном в схеме хакеров, позволив им анонимно обменивать активы между различными блокчейнами. В этой статье мы разберем, как происходила конвертация, почему THORchain оказался в центре внимания и какие последствия это имело для криптосообщества.

Масштабы атаки: что известно о взломе Bybit

Взлом криптобиржи Bybit произошел 21 февраля 2025 года, когда злоумышленники получили доступ к холодному кошельку, где хранилось около 401 346 ETH. Общая стоимость украденных активов на тот момент оценивалась в $1,46 млрд, что сделало этот инцидент крупнейшей хакерской атакой в истории криптовалютного рынка. Генеральный директор Bybit Бен Чжоу подтвердил, что хакеры использовали сложную схему с подменой интерфейса транзакций, обманув сотрудников биржи и захватив контроль над смарт-контрактом.

По данным Тейлор Монахан, из общего объема украденных средств хакеры уже конвертировали в биткоины 209 384 ETH. Это более половины похищенного эфира, что указывает на высокую оперативность злоумышленников. Остальная часть активов, вероятно, была распределена по множеству кошельков или оставлена в резерве для последующих операций. Аналитики считают, что за атакой стоит группировка Lazarus, известная своими киберпреступлениями против криптоплатформ, включая взломы WazirX и Ronin Bridge.

Роль THORchain в отмывании $240 млн

Протокол THORchain стал ключевым инструментом для хакеров при отмывании украденных средств. Этот децентрализованный кроссчейн-сервис позволяет обменивать криптовалюты между разными блокчейнами без посредников и строгих требований KYC (знай своего клиента). По информации Arkham Intelligence, через THORchain прошло не менее $240 млн из похищенных активов. Это стало возможным благодаря анонимности протокола и его способности обрабатывать большие объемы транзакций.

Тейлор Монахан уточнила, что хакеры перевели 161 490 ETH (около $370 млн по текущему курсу) в биткоины через 3 934 отдельных транзакции за 115 часов после взлома. Это составляет примерно $3,2 млн в час — рекордная скорость для подобных операций. Использование THORchain позволило злоумышленникам быстро конвертировать эфир в «нативный» BTC, затрудняя отслеживание средств. Однако такой масштабный поток украденных активов не остался незамеченным, что вызвало бурную реакцию в криптосообществе.

Интересно, что сам протокол заработал около $3 млн на комиссиях за обработку этих транзакций, что подняло вопрос об этичности работы подобных платформ. Несмотря на усилия некоторых валидаторов THORchain заблокировать подозрительные операции, голосование по этому вопросу было отменено из-за особенностей механизма консенсуса, что лишь усилило споры о децентрализации и ответственности.

Lazarus Group: северокорейский след в атаке

Северокорейская хакерская группировка Lazarus Group, по мнению экспертов из Arkham Intelligence и независимого исследователя ZachXBT, стоит за взломом Bybit. Эта организация, предположительно спонсируемая властями КНДР, уже не раз попадала в заголовки благодаря громким кибератакам. С 2017 года Lazarus похитила более $6 млрд в криптовалютах, включая $1,34 млрд только в 2024 году. Средства, как правило, направляются на финансирование ядерной и ракетной программ Северной Кореи.

Методы Lazarus включают социальную инженерию, манипуляции с интерфейсами и атаки на многоподписные кошельки — именно такая тактика была применена против Bybit. После кражи активов хакеры используют проверенную схему: конвертация токенов в более ликвидные активы (ETH или BTC), а затем их отмывание через анонимные сервисы вроде THORchain. Аналитики Chainalysis отмечают, что прозрачность блокчейна создает сложности для злоумышленников, но их опыт и скорость действий позволяют заметать следы.

Реакция THORchain и уход разработчика

Использование THORchain для отмывания $240 млн вызвало раскол в сообществе протокола. 27 февраля 2025 года три валидатора проголосовали за блокировку транзакций, связанных с взломом Bybit, однако это решение было отменено из-за особенностей консенсуса сети. Основной разработчик THORchain, известный под псевдонимом Pluto, публично выступал за борьбу с отмыванием денег, но после провала голосования объявил о своей отставке.

«Фактически с этого момента я больше не буду вносить свой вклад в THORChain,» — написал Pluto в своем заявлении. Его уход стал символом разочарования в неспособности протокола противостоять использованию в незаконных целях. Некоторые эксперты, такие как TCB, заявили, что THORchain недостаточно децентрализован, чтобы выдержать давление со стороны регуляторов, особенно учитывая, что атака Bybit классифицирована как проблема национальной безопасности.

Последствия для Bybit и крипторынка

Несмотря на потерю $1,46 млрд, Bybit удалось избежать банкротства благодаря значительным резервам (общие активы биржи превышают $16 млрд). Бен Чжоу заверил пользователей, что вывод средств работает в штатном режиме, а украденные активы составляют лишь часть резервов компании. Тем не менее, инцидент вызвал падение цены Ethereum на 7% — с $2800 до $2600 — из-за опасений массовой распродажи похищенных монет.

Криптосообщество активно отреагировало на атаку: компании Tether, Circle, Bitget и другие заморозили активы на $43 млн, связанные с хакерами. Это демонстрирует, что кооперация в индустрии может затруднять работу киберпреступников. Однако случай с Bybit подчеркивает уязвимость даже крупных платформ и необходимость совершенствования мер безопасности.

Что ждет криптоиндустрию после атаки?

Взлом Bybit и последующая конвертация 209 384 ETH в биткоины через THORchain стали тревожным сигналом для криптовалютной индустрии. Этот инцидент обнажил слабые места децентрализованных протоколов и показал, насколько быстро хакеры могут адаптироваться к новым условиям. Регуляторы, включая ФБР, уже классифицировали атаку как спонсируемую государством, что может привести к ужесточению контроля над криптоплатформами.

Для пользователей и инвесторов это напоминание о важности выбора надежных платформ и хранения активов в холодных кошельках. В то же время уход Pluto из THORchain и споры вокруг протокола подчеркивают необходимость баланса между анонимностью и ответственностью в децентрализованных системах. Пока хакеры продолжают отмывать средства, криптосообщество ищет способы предотвратить подобные атаки в будущем.